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内 容 简 介 


随 着 Web 应 用 开发 技术 和 应 用 水 平 的 飞速 发 展 ,用 户 对 Web 系统 的 功能 性能、 安全 性 、 稳 定性 等 提 
出 了 更 高 的 要 求 。Web 应 用 程序 在 发 布 之 前 必须 进行 深入 全 面 的 测试 。 

本 书 从 理论 .技术 实战 和 工具 4 个 方面 深入 详实 地 介绍 Web 应 用 程序 测试 全 过 程 。 理 论 篇 包括 软件 
测试 基础 和 Web 应 用 基础 两 个 章节 ,重点 介绍 Web 测试 中 所 涉及 的 软件 测试 理论 和 技术 ,以 及 Web 应 用 
程序 的 原理 ,技术 和 特点 。 技 术 篇 包括 Web 功能 测试 .Web 用 户 界 面 测试 .Web 性 能 测试 .Web 安全 性 测 
试 和 Web 兼容 性 测试 5 个 章节 ,深入 分 析 了 Web 测试 的 原理 和 技术 ,并 以 生产 项 目 中 的 各 类 缺陷 为 案例 ， 
由 浅 人 深 地 引导 读者 运用 测试 技术 解决 实际 问题 。 实 战 篇 以 博客 系统 为 测试 实例 ,系统 介绍 了 对 一 个 
Web 系统 进行 全 面 测试 的 过 程 , 引 导读 者 一 步 步 动 手 实 践 。 工 具 篇 详细 地 介绍 了 性 能 测试 工具 
LaodRunner 和 安全 测试 工具 AppScan 的 使 用 。 通 过 本 书 内 容 的 学 习 , 读 者 能 快速 掌握 Web 应 用 程序 测 
试 的 方法 和 技术 ,增强 Web 测试 技能 ,提升 测试 水 平 。 

本 书 以 关键 的 测试 理论 为 基础 ,以 丰富 的 测试 技术 为 指导 ,以 实际 项 目 为 范例 ,案例 丰富 ,实用 性 强 。 
本 书 可 作为 高 等 院 校 高 职高 专 \ 示 范 性 软件 学 院 的 计算 机 专业 、 软 件 专业 、 信 息 安 全 专业 的 教材 ,也 可 作 
为 Web 应 用 测试 的 初 、 中 级 培训 教程 ,同时 可 供 从 事 软 件 开发 和 软件 测试 的 专业 技术 人 员 和 管理 人 员 
参阅 。 
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随 着 我 国 改革 开放 的 进一步 深化 ,高 等 教育 也 得 到 了 快速 发 展 , 各 地 高 校 紧 密 结 合 地 方 
经 济 建设 发 展 需要 ,科学 运用 市 场 调节 机 制 ,加 大 了 使 用 信息 科学 等 现代 科学 技术 提升 \ 改 
造 传统 学 科 专 业 的 投入 力度 ,通过 教育 改革 合理 调整 和 配置 了 教育 资源 ,优化 了 传统 学 科 专 
业 , 积 极为 地 方 经 济 建设 输送 人 才 ,为 我 国 经 济 社会 的 快速 健康 和 可 持续 发 展 以 及 高 等 教 
育 自身 的 改革 发 展 做 出 了 巨大 贡献 。 但 是 ,高 等 教育 质量 还 需要 进一步 提高 以 适应 经 济 社 
会 发 展 的 需要 ,不 少 高 校 的 专业 设置 和 结构 不 尽 合 理 ,教师 队伍 整体 素质 或 待 提高 ,人 才 培 
养 模式 ,教学 内 容 和 方法 需要 进一步 转变 ,学 生 的 实践 能 力 和 创新 精神 亚 待 加 强 。 

教育 部 一 直 十 分 重视 高 等 教育 质量 工作 。2007 年 1 月 ,教育 部 下 发 了 《关于 实施 高 等 
学 校本 科教 学 质量 与 教学 改革 工程 的 意见 ,计划 实施 “高 等 学 校本 科教 学 质量 与 教学 改革 
工程 "(简称 “质量 工程 ”), 通 过 专业 结构 调整 .课程 教材 建设 ,实践 教学 改革 ,教学 团队 建设 
等 多 项 内 容 ,进一步 深化 高 等 学 校 教学 改革 ,提高 人 才 培 养 的 能 力 和 水 平 ,更 好 地 满足 经 济 
社会 发 展 对 高 素质 人 才 的 需要 。 在 贯彻 和 落实 教育 部 “质量 工程 的 过 程 中 ,各 地 高 校 发 挥 
师资 力量 强 ,办 学 经 验 丰 富 .教学 资源 充裕 等 优势 ,对 其 特色 专业 及 特色 课程 ( 群 ) 加 以 规划 、 
整理 和 总 结 ,更 新 教学 内 容 、 改 革 课 程 体系 ,建设 了 一 大 批 内 容 新 、 体 系 新 、 方 法 新 、 手 段 新 的 
特色 课程 。 在 此 基础 上 ,经 教育 部 相关 教学 指导 委员 会 专家 的 指导 和 建议 ,清华 大 学 出 版 社 
在 多 个 领域 精 选 各 高 校 的 特色 课程 ,分 别 规划 出 版 系列 教材 ,以 配合 “质量 工程 ”的 实施 , 满 
足 各 高 校 教学 质量 和 教学 改革 的 需要 。 

为 了 深入 贯彻 落实 教育 部 (关于 加 强 高 等 学 校本 科教 学 工作 ,提高 教学 质量 的 若干 意 
见 ) 精 神 ,紧密 配合 教育 部 已 经 启动 的 “高 等 学 校 教学 质量 与 教学 改革 工程 精品 课程 建设 工 
作 ”, 在 有 关 专 家 、 教 授 的 倡议 和 有 关 部 门 的 大 力 支 持 下 ,我 们 组 织 并 成 立 了 “清华 大 学 出 版 
社 教 材 编审 委员 会 "(以 下 简称 “ 编 委 会 ”) , 旨 在 配合 教育 部 制定 精品 课程 教材 的 出 版 规划 ， 
讨论 并 实施 精品 课程 教材 的 编写 与 出 版 工作 .“ 编 委 会 "成 员 皆 来 自 全 国 各 类 高 等 学 校 教学 
与 科研 第 一 线 的 骨干 教师 ,其 中 许多 教师 为 各 校 相关 院 、 系 主管 教学 的 院 长 或 系 主任 。 

按照 教育 部 的 要 求 ,“ 编 委 会 ”一 致 认为 ,精品 课程 的 建设 工作 从 开始 就 要 坚持 高 标准 、 
严 要 求 , 处 于 一 个 比较 高 的 起 点 上 。 精 品 课程 教材 应 该 能 够 反映 各 高 校 教学 改革 与 课程 建 
设 的 需要 ,要 有 特色 风格 有 创新 性 (新 体系 、 新 内 容 、 新 手段 .新 思路 ,教材 的 内 容 体 系 有 较 
高 的 科学 创新 .技术 创新 和 理念 创新 的 含量 ) .先进 性 (对 原 有 的 学 科 体系 有 实质 性 的 改革 和 
发 展 ,顺应 并 符合 21 世纪 教学 发 展 的 规律 ,代表 并 引领 课程 发 展 的 趋势 和 方向 ) ,示范 性 ( 教 
材 所 体现 的 课程 体系 具有 较 广 泛 的 辐射 性 和 示范 性 ) 和 一 定 的 前 瞻 性 。 教 材 由 个 人 申报 或 
各 校 推荐 (通过 所 在 高 校 的 “ 编 委 会 ”成员 推 荐 ) ,经 “ 编 委 会 "认真 评审 ,最 后 由 清华 大 学 出 版 
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社 审 定 出 版 。 
目前 ,针对 计算 机 类 和 电子 信息 类 相关 专业 成 立 了 两 个 “ 编 委 会 ”, 即 “清华 大 学 出 版 社 
计算 机 教材 编审 委员 会 "和 “清华 大 学 出 版 社 电 子 信 息 教材 编审 委员 会 "。 推 出 的 特色 精品 


教材 包括 : 

(1) 21 世纪 高 等 学 校规 划 教 材 * 计算 机 应 用 一 一 高 等 学 校 各 类 专业 ,特别 是 非 计算 机 
专业 的 计算 机 应 用 类 教材 。 

(2) 21 世纪 高 等 学 校规 划 教 材 . 计算 机 科学 与 技术 一 一 高 等 学 校 计 算 机 相关 专业 的 
教材 。 


(3) 21 世纪 高 等 学 校规 划 教材 。 电子 信息 一 一 高 等 学 校 电 子 信 息 相关 专业 的 教材 。 
(4) 21 世纪 高 等 学 校规 划 教 材 * 软件 工程 一 一 高 等 学 校 软件 工程 相关 专业 的 教材 。 
(5) 21 世纪 高 等 学 校规 划 教 材 * 信息 管理 与 信息 系统 。 

(6) 21 世纪 高 等 学 校规 划 教材 。 财经 管理 与 应 用 。 

(7) 21 世纪 高 等 学 校规 划 教材 ， 电子 商务 。 

(8) 21 世纪 高 等 学 校规 划 教材 。 物 联网 。 


清华 大 学 出 版 社 经 过 三 十 多 年 的 努力 ,在 教材 尤其 是 计算 机 和 电子 信息 类 专业 教材 出 
版 方面 树立 了 权威 品牌 ,为 我 国 的 高 等 教育 事业 做 出 了 重要 贡献 。 清 华 版 教材 形成 了 技术 
准确 、 内 容 严 谨 的 独特 风格 ,这 种 风格 将 延续 并 反映 在 特色 精品 教材 的 建设 中 。 


清华 大 学 出 版 社 教材 编审 委员 会 
联系 人 : 魏 江 江 


E-mail: weijj@tup. tsinghua. edu. cn 


随 着 Web 技术 的 迅猛 发 展 ,Web 正 以 其 广泛 性 、 交 互 性 和 易 用 性 等 特点 迅速 风靡 全 
球 ,并 且 已 经 渗 和 人 到 社会 的 各 个 应 用 领域 。Web 应 用 系统 涉及 的 领域 越 来 越 广 , Web 系统 
的 复杂 性 也 越 来 越 高 ,用 户 对 Web 系统 的 功能 性能、 安全 性 、 稳 定性 等 方面 也 提出 了 更 高 
的 要 求 。 作 为 保证 软件 质量 和 可 靠 性 的 重要 手段 ,Web 应 用 软件 测试 已 成 为 Web 开发 过 
程 中 的 一 个 重要 环节 ,得 到 越 来 越 多 的 重视 .并 取得 了 一 定 的 研究 成 果 。 但 由 于 Web 应 用 
软件 的 异 构 ,分布 .并 发 等 特性 ,使 得 对 Web 应 用 软件 的 测试 要 比 对 传统 程序 的 测试 更 困 
难 , 从 而 给 测试 人 员 提 出 了 新 的 挑战 。 

本 书 以 关键 的 测试 理论 为 基础 ,以 丰富 的 测试 技术 为 指导 ,以 实际 项 目 为 范例 ,深入 浅 
出 地 介绍 Web 应 用 程序 测试 的 方法 、 技 术 , 并 通过 Web 测试 案例 引导 读者 动手 实践 。 本 书 
实例 丰富 、 实 用 性 强 、 结 构 清晰 、 内 容 详 尽 , 通 过 阅读 本 书 能 使 读者 对 Web 应 用 程序 测试 有 
全 方位 的 了 解 ,提升 测试 实战 能 力 。 

本 书 分 4 篇 ,每 一 篇 都 是 层 层 递 进 、 相 互 关联 的 。 

第 一 篇 : 理论 篇 , 共 分 2 章 ,分 别 是 软件 测试 基础 和 Web 应 用 技术 ,简明 扼要 地 介绍 
Web 测试 中 涉及 的 软件 测试 理论 和 技术 ,分 析 Web 应 用 程序 的 原理 ,技术 和 特点 。 

第 二 篇 : 技术 篇 , 共 分 5 章 , 分 别 是 Web 功能 测试 .Web 用 户 界面 测试 、Web 性 能 测试 、 
Web 安全 性 测试 .Web 兼容 性 测试 ,深入 分 析 Web 测试 的 原理 和 技术 。 

第 三 篇 : 实战 篇 , 共 分 2 章 , 采 用 博客 系统 为 测试 实例 ,介绍 如 何 对 一 个 Web 系统 进行 
全 面 的 测试 ,引导 读者 一 步 步 动手 实践 。 

第 四 篇 : 工具 篇 , 共 分 2 章 , 通 过 性 能 测试 工具 LoadRunner 和 Web 安全 测试 工具 
AppScan 的 使 用 ,展示 工具 的 强大 功能 ,帮助 测试 工程 师 完成 特定 的 测试 工作 。 

本 书 内 容 新 颖 ,体系 完整 ,结构 清晰 ,实践 性 强 ,从 理论 ,技术 和 实践 3 方面 深入 细致 地 
介绍 Web 应 用 程序 测试 方法 和 技术 。 通 过 本 书 内 容 的 学 习 , 读 者 能 较 快 地 掌握 Web 应 用 
程序 测试 的 方法 和 技术 ,增强 Web 测试 技能 ,提升 测试 水 平 。 

本 书 由 兰 景 英 \ 王 永恒 策划 和 编写 , 王 顺 主 审 。 作 者 结合 多 年 的 教学 与 实践 经 验 ,由 浅 
人 深 地 详细 阐述 了 Web 应 用 程序 测试 技术 ,方便 读者 深入 了 解 和 学 习 软 件 测试 技术 。 王 顺 
老师 对 本 书 的 内 容 进 行 了 细致 的 阅读 和 审核 .对 本 书 框架 结构 提出 了 宝贵 的 建议 。 技 术 篇 
的 各 章 典 型 缺陷 案例 由 王 顺 老 师 提 供 , 主 要 缺陷 案例 节选 自 言 若 金 叶 软件 研究 中 心 历年 全 
国 大 学 软件 实践 与 创新 能 力 大 赛 获奖 选手 的 作品 。 
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感谢 清华 大 学 出 版 社 提供 的 这 次 合作 机 会 ,使 本 书 能 够 早日 与 读者 见面 。 感 谢 范 勇 教 
授 和 潘 娅 副教授 为 书籍 出 版 所 提供 的 支持 和 帮助 。 
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软件 测试 基础 


(1 软件 测试 


1.1.1 什么 是 软件 测试 


软件 测试 (Software Testing) 是 软件 质量 保证 过 程 中 的 重要 环节 ,同时 也 是 软件 质量 控 
制 的 重要 手段 之 一 。 软 件 测试 是 对 软件 产品 进行 验证 和 确认 的 活动 过 程 , 通 过 测试 工程 师 
与 整个 项 目 团队 共同 努力 ,确保 按时 向 客户 提交 满足 客户 要 求 的 高 质量 软件 产品 。 软 件 测 
试 的 目的 就 是 尽快 尽早 地 将 被 测 件 中 所 存在 的 缺陷 找 出 来 ,并 促进 系统 分 析 工 程 师 、 设 计 工 
程 师 和 程序 员 等 尽快 地 解决 这 些 缺 陷 , 并 评估 被 测试 件 的 质量 水 平 。 

软件 测试 是 为 软件 开发 过 程 服务 的 ,在 整个 软件 开发 过 程 中 ,要 强调 测试 服务 的 理念 。 
虽然 软件 测试 的 重要 任务 之 一 是 发 现 软件 中 存在 的 缺陷 ,但 其 根本 目的 是 为 了 提高 软件 质 
量 ,降低 软件 开发 过 程 的 风险 。 


1.1.2 软件 测试 的 原则 
在 软件 测试 中 应 力求 遵循 以 下 原则 。 
1. 所 有 的 测试 都 应 追溯 到 用 户 需求 


软件 开发 的 最 终 目的 是 满足 用 户 的 需求 。 从 用 户 角度 来 看 ,最 严重 的 缺陷 就 是 那些 导 
致 软件 无 法 满足 用 户 需 求 的 缺陷 。 如 果 软 件 实现 的 功能 不 是 用 户 所 期 望 的 ,将 导致 软件 测 
试 和 软件 开发 工作 毫 无 意义 。 


2. 尽早 开展 预防 性 测试 


测试 工作 进行 得 越 早 , 越 有 利于 提高 软件 的 质量 和 降低 软件 的 质量 成 本 ,这 是 预防 性 测 
试 的 基本 原则 。 研 究 数 据 显 示 ,软件 开发 过 程 中 发 现 缺 陷 的 时 间 越 晚 ,修复 缺陷 所 花费 的 成 
本 就 越 大 。 因 此 在 需求 分 析 阶 段 就 应 开始 进行 测试 工作 ,这 样 才能 尽早 发 现 和 预防 错误 , 尽 
量 避 免 将 软件 缺陷 遗留 到 下 一 个 开发 阶段 ,提高 软件 质量 。 


3. 投入 / 产 出 原则 
根据 软件 测试 的 经 济 成 本 观点 ,在 有 限 的 时 间 和 资源 下 进行 完全 测试 ,并 找 出 软件 中 所 
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有 的 错误 和 缺陷 是 不 可 能 的 ,而 且 也 是 软件 开发 成 本 所 不 允许 的 。 因 此 软件 测试 不 能 无 限 
进行 下 去 ,应 适时 终止 。 不 充分 的 测试 是 不 负责 任 的 ,过 分 的 测试 是 一 种 资源 的 浪费 ,同样 
也 是 一 种 不 负责 任 的 表现 。 因 此 在 满足 软件 预期 的 质量 标准 时 ,确定 质量 的 投入 / 产 出 比 。 


4. 注意 测试 中 的 群集 现象 


在 所 测 程序 段 中 , 若 发 现 错误 数目 多 , 则 残存 错误 数目 也 比较 多 。 这 种 错误 群集 性 现 
象 ,已 为 许多 程序 的 测试 实践 所 证 实 。 根 据 这 个 规律 ,应当 对 错误 较 多 的 程序 段 进行 重点 测 
试 ,以 提高 测试 投资 的 效益 。 


5. 考虑 有 效 输入 和 无 效 输入 


在 测试 软件 时 ,一 个 自然 的 倾向 就 是 将 重点 集中 在 有 效 和 预期 的 输入 情况 上 ,而 容易 忽 
略 无 效 和 未 预料 到 的 情况 。 但 软件 产品 中 突然 暴露 出 来 的 许多 问题 常常 是 程序 以 某 些 新 的 
或 未 预料 到 的 方式 运行 时 发 现 的 。 因 此 针对 未 预料 到 的 和 无 效 输入 情况 设计 的 测试 用 例 ， 
似乎 比 针 对 有 效 输入 情况 的 那些 测试 用 例 更 能 发 现 问题 。 


6. 避免 测试 自己 的 程序 


由 于 思维 定 势 和 心理 因素 等 原因 ,开发 工程 师 难 以 发 现 自己 的 错误 ,同时 揭露 自己 程序 
中 的 错误 也 是 件 非常 困难 的 事 。 因 此 ,测试 一 般 由 独立 的 测试 部 门 或 第 三 方 机 构 进行 ,但 需 
要 软件 开发 工程 师 的 积极 配合 。 


7. 合理 安排 测试 计划 


测试 时 合理 安排 测试 计划 ,并 严格 按 测试 计划 执行 测试 ,避免 测试 的 随意 性 。 测 试 计划 
应 包括 被 测 软件 的 功能 ,输入 和 输出 ,测试 内 容 、 各 项 测试 的 进度 安排 ,资源 要 求 ,测试 资料 、 
测试 工具 、 测 试用 例 的 选择 、 测 试 的 控制 方式 和 过 程 、 系 统 组 装 方式 、 跟 踪 规 程 , 调 试 规程 、 回 
归 测 试 的 规定 以 及 评价 标准 等 。 


8. 进行 回归 测试 


由 于 修改 了 原来 的 缺陷 ,将 可 能 导致 新 的 缺陷 产生 ,因此 修改 缺陷 后 ,应 集中 对 软件 可 
能 受 影响 的 模块 / 子 系统 进行 回归 测试 ,以 确保 修改 缺陷 后 不 引入 新 的 缺陷 。 回 归 测 试 在 整 
个 软件 测试 过 程 中 占有 很 大 的 比重 ,每 个 测试 级 别 都 会 进行 多 次 回归 测试 。 


1.1.3 软件 测试 的 分 类 


软件 测试 的 分 类 可 按照 软件 开发 的 阶段 ,测试 技术 、 测 试 组 织 、 测 试 内 容 以 及 软件 工程 
的 发 展 历史 阶段 等 来 进行 划分 。 

1. 按照 开发 阶段 划分 

按照 开发 阶段 划分 ,软件 测试 可 分 为 单元 测试 .集成 测试 .系统 测试 和 验收 测试 。 


(1) 单元 测试 (Unit Testing) 
单元 测试 又 称 模块 测试 ,是 对 软件 设计 的 最 小 单元 进行 功能 、 性 能 、 接 口 和 设计 约束 等 
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的 正确 性 检验 ,检查 程序 在 语法 ,格式 和 逻辑 上 的 错误 ,并 验证 程序 是 否 符合 规范 ,发 现 单元 
内 部 可 能 存在 的 各 种 缺陷 。 

单元 测试 的 对 象 是 软件 设计 的 最 小 单位 一 一 模块 函数 或 者 类 。 在 传统 的 结构 化 程序 
设计 语言 中 (如 C 语言 ), 单 元 测试 的 对 象 一 般 是 函数 或 者 过 程 。 在 面向 对 象 设计 语言 
(如 Java、C++), 单 元 测试 的 对 象 可 以 是 类 ,也 可 以 是 类 的 成 员 函 数 。 

单元 测试 与 程序 设计 和 编程 实现 密切 相关 ,因此 测试 者 要 根据 详细 设计 说 明 书 和 源 程 
序 清单 ,了 解 模块 的 1/O 条 件 和 模块 的 逻辑 结构 。 单 元 测试 主要 采用 白 盒 测试 技术 , 辅 之 
以 黑 盒 测试 ,使 之 对 任何 合理 和 不 合理 的 输入 都 能 鉴别 和 响应 。 

在 实际 软件 开发 工作 中 ,单元 测试 很 烦琐 ,但 经 验 表 明 单 元 测试 可 以 发 现 大 量 的 缺陷 ， 
并 且 修 复 成 本 低 。 因 此 ,有 效 的 单元 测试 是 软件 产品 质量 保证 的 重要 一 环 。 

(2) 集成 测试 (Integration Testing) 

集成 测试 又 称 为 组 装 测试 . 子 系统 测试 ,是 在 单元 测试 基础 之 上 将 各 模块 组 装 起 来 进行 
的 测试 ,其 主要 目的 是 发 现 单元 之 间 的 接口 问题 。 集 成 测试 内 容 包括 功能 正确 性 验证 接口 
测试 .全 局 数据 结构 的 测试 以 及 计算 精度 检测 等 。 

集成 测试 的 策略 可 以 粗略 地 划分 成 非 增 量 型 集成 测试 和 增 量 型 ( 渐 增 式 ) 集 成 测试 。 

非 增 量 型 集成 测试 是 将 所 有 软件 模块 统一 集成 后 进行 整体 测试 ,也 称 大 棒 集 成 (Big- 
Bang Integrate Testing)。 这 种 方法 速度 很 快 ,但 极 容易 出 现 混乱 ,因为 测试 时 可 能 发 现 很 
多 错误 ,错误 定位 和 修复 非常 困难 。 对 于 复杂 的 软件 系统 ,一 般 不 宜 采 用 非 增 量 型 集成 
测试 。 

增 量 型 集成 测试 是 从 一 个 模块 开始 ,每 测试 一 次 添加 一 个 模块 , 边 组 装 边 测试 ,以 发 现 
与 接口 相关 的 问题 。 在 测试 设计 实施 过 程 中 , 浙 增 式 测试 模式 需要 编写 驱动 模块 (Driver) 
或 桩 模块 (Stub) 程 序 。 增 量 型 集成 测试 可 以 更 早 发 现 模块 间 的 接口 错误 ,并 有 利于 错误 的 
定位 和 纠正 。 增 量 型 集成 测试 的 实施 策略 有 很 多 种 ,如 基于 功能 分 解 的 集成 ( 自 底 向 上 集成 
测试 、 自 项 向 下 集成 测试 三 明治 集成 测试 ) 、 基 于 调用 图 的 集成 (成 对 集成 、 相 邻 集成 ) .基于 
路 径 的 集成 ,高 频 集成 .基于 进度 的 集成 等 。 

(3) 系统 测试 (System Testing) 

系统 测试 是 将 已 经 集成 好 的 软件 系统 ,作为 整个 计算 机 系统 的 一 个 元 素 , 与 支持 软件 、 
计算 机 硬件 .外 设 ,数据 网络 等 其 他 系统 元 素 结合 在 一 起 ,在 模拟 实际 使 用 环境 下 ,对 计算 
机 系统 进行 一 系列 测试 活动 。 

系统 测试 的 基本 测试 方法 是 通过 与 系统 的 需求 定义 作 比 较 , 发 现 软件 与 系统 定义 不 符 
合 或 矛盾 的 地 方 , 以 验证 系统 的 功能 和 性 能 等 是 否 满足 其 规约 所 指定 的 要 求 。 为 了 测试 出 
系统 在 真实 应 用 环境 下 的 运行 情况 ,测试 用 例 应 根据 需求 规格 说 明 书 来 设计 ,并 在 测试 实施 
过 程 中 尽量 模拟 软件 实际 使 用 环境 。 

系统 测试 除了 验证 系统 的 功能 外 ,还 会 涉及 系统 的 性 能 、 安 全 性 可用性、 可靠 性 、 健 壮 
性 、 可 恢复 性 等 方面 的 测试 ,而 且 每 一 种 测试 都 有 其 特定 的 目标 。 

(4) 验收 测试 (Acceptance Testing) 

验收 测试 也 称 为 交付 测试 ,是 在 软件 产品 完成 了 单元 测试 .集成 测试 和 系统 测试 之 后 ， 
产品 发 布 之 前 所 进行 的 软件 测试 活动 , 它 是 技术 测试 的 最 后 一 个 阶段 。 验 收 测试 对 软件 产 
品 的 功能 、 性 能 可靠 性 、 易 用 性 等 方面 做 全 面 的 质量 检测 ,并 出 具 相 应 的 产品 质量 报告 。 其 
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目的 是 确保 软件 准备 就 绪 , 并 且 可 以 让 最 终 用 户 将 其 用 于 执行 软件 的 既定 功能 和 任务 。 
验收 测试 一 般 包括 用 户 验收 测试 .系统 管理 员 的 验收 测试 (包括 测试 备份 和 恢复 、 灾 难 
恢复 、 用 户 管理 .任务 维护 、 定 期 安全 漏洞 检查 等 )、 基 于 合同 的 验收 测试 、a 测试 和 有 测试 。 


2. 按照 测试 技术 划分 


按照 测试 技术 划分 ,软件 测试 可 划分 为 静态 测试 和 动态 测试 。 

(1) 静态 测试 (Static Testing) 

静态 测试 是 指 不 运行 程序 ,通过 人 工 或 者 借助 专用 的 软件 测试 工具 对 程序 和 文档 进行 
分 析 与 检查 ,借以 发 现 程序 和 文档 中 存在 的 问题 。 静 态 测试 实际 上 是 对 软件 中 的 需求 说 明 
书 、 设 计 说 明 书 ,程序 源 代码 等 进行 检查 和 评审 。 

静态 测试 包括 代码 检查 .静态 结构 分 析 .代码 质量 度量 等 。 代 码 检查 包括 代码 走 查 、 桌 
面 检查 .代码 审查 等 ,主要 检查 代码 和 设计 的 一 致 性 .代码 对 标准 的 遵循 和 可 读 性 .代码 逻辑 
表达 的 正确 性 .代码 结构 的 合理 性 等 方面 ,以 发 现 违背 编码 标准 的 问题 ,以 及 程序 中 不 安全 、 
不 明确 和 模糊 的 部 分 , 找 出 程序 中 不 可 移植 部 分 .违背 编程 风格 的 问题 ,包括 变量 检查 、 命 名 
和 类 型 审查 ,程序 逻辑 审查 ,程序 语法 检查 和 程序 结构 检查 等 内 容 。 

静态 测试 成 本 低 、 效 率 较 高 ,并 且 可 以 在 软件 开发 早期 阶段 发 现 软件 缺陷 。 因 此 静态 测 
试 是 一 种 非常 有 效 而 重要 的 测试 技术 。 

(2) 动态 测试 (Dynamic Testing) 

动态 测试 是 指 通 过 人 工 或 使 用 工具 运行 被 测 程序 ,检查 运行 结果 与 预期 结果 的 差异 ,并 
分 析 运 行 效率 和 健壮 性 等 特性 。 动 态 测试 一 般 由 三 部 分 组 成 , 即 构造 测试 用 例 \、 执 行程 序 、 
分 析 程 序 的 输出 结果 。 

动态 测试 分 为 白 盒 测试 . 黑 盒 测试 和 灰 盒 测试 。 

O@ 和 白 盒 测试 (White Box Testing) 

白 盒 测 试 又 称 结构 测试 。 白 盒 测试 是 按照 程序 内 部 的 结构 进行 测试 ,通过 测试 来 检测 
产品 内 部 动作 是 否 按照 设计 规格 说 明 书 的 规定 正常 进行 ,检验 程序 中 的 每 条 通路 是 否 都 能 
按 预定 要 求 正 确 工 作 。 此 方法 是 把 测试 对 象 看 作 一 个 透明 的 盒子 ,测试 人 员 依 据 程序 内 部 
逻辑 结构 相关 信息 ,设计 或 选择 测试 用 例 , 对 程序 所 有 人 逻辑 路 径 进行 测试 ,通过 在 不 同 点 检 
查 程序 的 状态 ,确定 实际 的 状态 是 否 与 预期 的 状态 一 致 。 

白 盒 测试 经 常用 在 单元 测试 中 ,可 借助 于 测试 工具 来 实现 。 

@ 黑 盒 测 试 (Black Box Testing) 

黑 盒 测 试 又 称 功能 测试 或 数据 驱动 测试 。 它 是 已 知 产 品 所 应 具有 的 功能 ,通过 测试 来 
检测 每 个 功能 是 否 都 能 正常 使 用 。 黑 盒 测 试 着 眼 于 程序 外 部 结构 ,不 考虑 内 部 逻辑 结构 , 主 
要 针对 软件 界面 和 软件 功能 进行 测试 。 在 测试 时 ,把 程序 看 作 一 个 不 能 打开 的 黑 盒子 ,在 完 
全 不 考虑 程序 内 部 结构 和 处 理 过 程 的 情况 下 ,测试 者 通过 程序 接口 进行 测试 ,检查 程序 是 否 
按照 需求 规格 说 明 书 的 规定 正常 运行 ,检查 程序 是 否 能 适当 地 接收 输入 数据 而 产生 正确 的 
输出 信息 。 

@ 灰 盒 测试 (Gray-box testing) 

灰 盒 测试 是 介 于 白 盒 测试 与 黑 盒 测试 之 间 的 测试 。 灰 盒 测试 关注 输出 对 于 输入 的 正确 
性 ,同时 也 关注 内 部 表现 ,但 这 种 关注 不 像 白 盒 测试 那样 详细 、 完 整 。 灰 盒 测 试 只 是 通过 一 
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些 表征 性 的 现象 .事件 ,标志 来 判断 内 部 的 运行 状态 。 有 时 候 输 出 是 正确 的 ,但 内 部 其 实 已 
经 错误 了 ,对 于 这 种 情况 ,如 果 每 次 都 通过 白 盒 测试 来 检查 ,效率 会 很 低 , 因 此 需要 采取 灰 盒 
测试 的 方法 。 灰 盒 测试 结合 了 白 盒 测 试 和 黑 盒 测试 的 要 素 。 


3. 按照 测试 执行 者 划分 


按照 测试 执行 者 划分 ,软件 测试 可 分 为 开发 方 测试 .用户 测试 (B 测试 ) ,第 三 方 测试 。 

(1) 开发 方 测试 

开发 方 测试 是 软件 开发 公司 人 员 在 软件 开发 环境 下 ,通过 检测 和 提供 客观 证 据 , 证 实 软 
件 的 实现 是 否 满足 规定 的 需求 。 

(2) 用 户 方 测试 

用 户 方 测试 是 在 用 户 实际 应 用 环境 下 ,通过 用 户 运 行 和 使 用 软件 找 出 软件 使 用 过 程 中 
发 现 的 软件 的 缺陷 与 问题 ,检测 与 核实 软件 实现 是 否 符合 用 户 的 预期 要 求 , 并 把 信息 反馈 给 
开发 者 。 

(3) 第 三 方 测试 

第 三 方 测试 又 称 独立 测试 ,是 介 于 软件 开发 方 和 用 户 方 之 间 的 测试 组 织 开 展 的 测试 。 
软件 第 三 方 测试 是 由 在 技术 管理 和 财务 上 与 开发 方 和 用 户 方 相对 独立 的 组 织 进行 的 软件 
测试 。 一 般 情况 下 是 在 模拟 用 户 真 实 应 用 环境 下 ,进行 软件 确认 测试 。 


4. 按照 测试 内 容 划分 


按照 测试 的 具体 内 容 划分 ,可 分 为 功能 测试 ,性 能 测试 .容量 测试 .健壮 性 测试 .安全 性 
测试 .可 靠 性 测试 .兼容 性 测试 . 易 用 性 测试 .GUI 测试 .配置 测试 .安装 / 印 载 测试 .文档 测 

(1) 功能 测试 (Functional Testing) 

功能 测试 又 称 为 行为 测试 (Behavioral Testing) ,是 根据 产品 特性 ,操作 描述 和 用 户 方 
案 ,测试 一 个 产品 的 特性 和 可 操作 行为 ,以 确定 它们 是 否 满足 设计 需求 。 

功能 测试 是 为 了 确保 程序 以 期 望 的 方式 运行 而 对 软件 进行 的 测试 ,通过 对 一 个 系统 的 
所 有 特性 和 功能 进行 测试 确保 其 符合 需求 和 规范 。 

(2) 性 能 测试 (Performance Testing) 

性 能 测试 是 通过 自动 化 的 测试 工具 模拟 多 种 正常 .峰值 以 及 异常 负载 条 件 来 对 系统 的 
各 项 性 能 指标 进行 测试 。 负 载 测 试 . 压 力 测试 和 并 发 测试 都 属于 性 能 测试 ,它们 可 以 结合 
进行 。 

中 负载 测试 (Load Testing): 是 确定 在 各 种 工作 负载 下 系统 的 性 能 ,目标 是 测试 当 负 
载 逐 渐 增加 时 ,系统 组 成 部 分 的 相应 输出 项 ,例如 事务 通过 量 、 响 应 时 间 、CPU 负载 ,内存 使 
用 等 来 分 析 系 统 的 性 能 。 通 俗 地 说 ,这 种 测试 方法 就 是 要 在 特定 的 运行 条 件 下 验证 系统 的 
能 力 状况 。 

@ 压力 测试 (Stress Testing) : 是 对 系统 不 断 施加 压力 .通过 确定 一 个 系统 的 瓶颈 或 者 
不 能 接收 用 户 请 求 的 性 能 点 ,来 获得 系统 能 提供 的 最 大 服务 级 别 的 测试 。 压 力 测试 是 为 了 
发 现在 什么 条 件 下 应 用 程序 的 性 能 会 变 得 不 可 接受 。 

@ 并 发 测试 (Concurrency Testing) : 是 指 测试 多 个 用 户 同时 访问 同一 个 应 用 程序 \、 同 
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一 个 模块 或 者 数据 记录 时 是 否 存在 死 锁 或 者 其 他 性 能 问题 。 并 发 测试 用 于 验证 系统 的 并 发 
处 理 能 力 ,一 般 是 和 服务 器 端 建立 大 量 的 并 发 连接 ,通过 客户 端的 响应 时 间 和 服务 器 端的 性 
能 监测 情况 来 判断 系统 是 否 达 到 了 既定 的 并 发 能 力 指标 。 

(3) 容量 测试 (Volume Testing) 

容量 测试 是 检验 系统 的 能 力 最 高 能 达到 什么 程度 ,其 目的 是 通过 测试 预先 分 析出 反映 
软件 系统 应 用 特征 的 某 项 指标 的 极限 值 ( 如 最 大 并 发 用 户 数 .数据 库 记 录 数 等 ) ,系统 在 其 极 
限 状 态 下 没有 出 现任 何 软件 故障 ,还 能 保持 主要 功能 正常 运行 。 容 量 测试 还 将 确定 测试 对 
象 在 给 定时 间 内 能 够 持续 处 理 的 最 大 负载 或 工作 量 。 

(4) 健壮 性 测试 (Robustness Testing) 

健壮 性 测试 又 称 为 容错 性 测试 ,用 于 测试 系统 在 出 现 故 障 时 ,是 否 能 够 自动 恢复 或 者 忽 
略 故障 继续 运行 。 健 壮 性 测试 包括 以 下 两 个 方面 。 

O@ 输入 异常 数据 或 进行 异常 操作 ,以 检验 系统 的 保护 性 。 

@ 灾难 恢复 性 测试 : 通过 各 种 手段 ,让 系统 强制 性 地 发 生 故障 ,然后 验证 系统 已 保存 
的 用 户 数据 是 否 丢失 ,系统 和 数据 是 否 能 尽快 恢复 。 

(5) 安全 性 测试 (Security Testing) 

安全 性 测试 是 验证 集成 在 系统 内 的 保护 机 制 是 否 能 够 在 实际 应 用 中 保护 系统 不 受到 非 
法 的 侵入。 软件 系统 的 安全 性 要 求 系统 除了 能 够 经 受 住 正面 的 攻击 ,还 必须 能 够 经 受 住 侧 
面 的 和 背后 的 攻击 。 软 件 系统 安全 性 一 般 分 为 三 个 层次 , 即 应 用 程序 级 别 的 安全 性 ,数据库 
管理 系统 的 安全 性 ,以 及 系统 级 别 的 安全 性 。 

(6) 可 靠 性 测试 (Reliability Testing) 

可 靠 性 测试 是 指 在 一 定 的 环境 下 ,在 给 定 的 时 间 内 ,系统 不 发 生 故 障 的 概率 。 可 靠 性 测 
试 包 括 的 内 容 非常 广泛 。 通 常 使 用 以 下 几 个 指标 来 度量 系统 的 可 靠 性 : 平均 失效 间隔 时 间 
是 否 超过 规定 时 限 ; 因 故 障 而 停机 的 时 间 在 一 年 中 应 不 超过 多 少时 间 。 

(7) 兼容 性 测试 (Compatibility Testing) 

兼容 性 测试 是 测试 软件 在 特定 的 硬件 .软件 .操作 系统 、 网 络 等 环境 下 能 否 正常 运行 ,其 
目的 就 是 检验 被 测 软件 对 其 他 应 用 软件 或 者 其 他 系统 的 兼容 性 。 例 如 在 对 一 个 共享 资源 
(数据 数据 文件 或 者 内 存 ) 进 行 操作 时 ,检测 两 个 或 多 个 系统 需求 能 否 正 常 工作 以 及 相互 交 
互 使 用 。 

(8) 易 用 性 测试 (Usability Testing) 

易 用 性 测试 是 考察 评定 软件 的 易学 易 用 性 ,各 个 功能 是 否 易于 完成 ,软件 界面 是 否 友 好 
等 方面 进行 测试 。 通 常 易 用 性 包括 易 见 性 、 易 学 性 和 易 用 性 。 易 见 性 是 指 单 单 赁 观察 ,用 户 
就 应 知道 设备 的 状态 ,该 设备 供 选 择 可 以 采取 的 行动 。 易 学 性 是 指 不 通过 帮助 文件 或 通过 
简单 的 帮助 文件 ,用 户 就 能 对 一 个 陌生 的 产品 有 清晰 的 认识 。 易 用 性 是 指 用 户 不 翻阅 手册 
就 能 使 用 软件 。 

(9) 本 地 化 测试 (Localization Testing) 

本 地 化 测试 是 保证 本 地 化 的 软件 在 语言 .功能 和 界面 等 方面 符合 本 地 用 户 的 最 终 需 要 。 
本 地 化 测试 的 环境 是 在 本 地 化 的 操作 系统 上 安装 本 地 化 的 软件 。 从 测试 方法 上 可 以 分 为 基 
本 功能 测试 .安装 / 印 载 测试 和 本 地 的 软 硬 件 兼 容 性 测试 。 测 试 的 内 容 主要 包括 软件 本 地 化 
后 的 界面 布局 和 软件 翻译 的 语言 质量 ,包含 软件 ,文档 和 联机 帮助 等 部 分 。 
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(10) 配置 测试 (Configuration Testing) 

配置 测试 是 指 在 不 同 的 硬件 配置 下 ,在 不 同 的 操作 系统 和 应 用 软件 环境 中 ,检查 系统 是 
否 出 现 功 能 或 者 性 能 上 的 问题 ,从 而 了 解 不 同 环境 对 系统 性 能 的 影响 程度 ,找到 系统 各 项 资 
源 的 最 优 分 配 。 配 置 测试 的 目的 是 保证 被 测试 的 软件 在 尽 可 能 多 的 硬件 平台 上 运行 。 

(11) 安装 测试 (Installation Testing) 

安装 测试 是 对 软件 的 安装 / 印 载 处 理 过 程 的 测试 。 其 目的 是 检测 系统 的 各 类 安装 (例如 
典型 、 全 部 、 自 定义 .升级 等 ) 和 全 载 是 否 全 面 、 完 整 ,是 否 会 影响 到 其 他 软件 系统 ,硬件 的 配 
置 是 否 合理 。 

(12) 文档 测试 (Documentation Testing) 

文档 测试 是 对 系统 提交 给 用 户 的 文档 进行 验证 ,检查 系统 的 文档 是 否 齐全 ,检查 文档 内 
容 是 否 正确 、 规 范 和 一 致 。 通 过 文档 测试 保证 用 户 文档 的 正确 性 并 使 得 操作 手册 能 够 准确 
无 误 。 文档 测试 一 般 由 单独 的 一 组 测试 人 员 实 施 。 


(2 软件 缺陷 


1.2.1 什么 是 软件 缺陷 


软件 缺陷 (Software Defect) ,常常 被 叫做 Bug。 软 件 缺陷 是 对 软件 产品 预期 属性 的 偏 
离 现象 。 缺 陷 的 存在 会 导致 软件 产品 在 某 种 程度 上 不 能 满足 用 户 的 需求 。IEEE 729 
1983 对 缺陷 的 定义 :“ 从 产品 内 部 看 ,缺陷 是 软件 产品 在 开发 和 维护 过 程 中 存在 的 错误 、 缺 
点 等 问题 ; 从 产品 外 部 来 看 ,缺陷 是 系统 所 需要 实现 的 某 种 功能 的 失效 或 违背 ”。 

缺陷 的 表现 形式 有 很 多 ,不 仅 体现 在 功能 上 的 失效 ,还 体现 在 性 能 、 安 全 性 .兼容 性 、 易 
用 性 、 可 靠 性 等 方面 不 能 满足 用 户 需求 。 

软件 缺陷 是 影响 软件 质量 的 重要 因素 之 一 ,发现 并 排除 缺陷 是 软件 生命 周期 中 的 一 项 
重要 工作 。 


1.2.2 软件 缺陷 的 分 类 


由 于 软件 缺陷 分 布 在 软件 开发 周期 中 的 不 同 阶段 ,对 于 不 同 阶段 ,其 缺陷 的 分 类 标准 是 
不 一 样 的 。 由 于 缺陷 有 很 多 属性 ,根据 属性 也 可 将 缺陷 分 成 不 同 的 种 类 。 


1. 缺陷 起 源 


缺陷 起 源 是 指 缺陷 引起 的 故障 或 事件 第 一 次 被 检测 到 的 阶段 ,缺陷 起 源 如 表 1-1 所 示 。 
表 1-1 缺陷 起 源 示例 


缺陷 起 源 描 述 缺陷 起 源 描 述 
需求 (Requirement) 在 需求 阶段 发 现 的 缺陷 代码 (Code) 在 编码 阶段 发 现 的 缺陷 
架构 (Architecture) 在 架构 阶段 发 现 的 缺陷 测试 (Test) 在 测试 阶段 发 现 的 缺陷 
设计 (Design) 在 设计 阶段 发 现 的 缺陷 
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2. 缺陷 严重 级 别 


软件 缺陷 一 旦 被 发 现 , 就 应 该 设法 找 出 引起 这 个 缺陷 的 原因 ,并 分 析 其 对 软件 产品 质量 
的 影响 程度 ,然后 确定 处 理 这 个 缺陷 的 优先 顺序 。 一 般 来 说 ,问题 越 严重 ,其 处 理 的 优先 级 
越 高 , 越 需要 得 到 及 时 的 修复 。 

缺陷 严重 级 别 是 指 因 人 缺陷 引起 的 故障 对 被 测试 软件 的 影响 程度 。 在 软件 测试 中 ,缺陷 
的 严重 级 别 应 该 从 软件 最 终 用 户 的 观点 出 发 来 判断 ,考虑 缺陷 对 用 户 使 用 所 造成 的 后 果 的 
严重 性 。 由 于 软件 产品 应 用 的 领域 不 同 ,软件 企业 对 缺陷 严重 级 别 的 定义 也 不 尽 相同 ,但 一 
般 包括 5 个 级 别 , 如 表 1-2 所 示 。 

表 1-2 ”缺陷 严重 级 别 示例 
缺陷 级 别 描 述 


不 能 执行 正常 工作 功能 或 重要 功能 ,使 系统 崩溃 或 资源 严重 不 
足 。 如 : 

(1) 由 程序 所 引起 的 死机 ,非法 退出 

(2) 死 循环 

严重 缺陷 (Critical) (3) 数据 库 发 生死 锁 

(4) 错误 操作 导致 的 程序 中 断 

(5) 严重 的 计算 错误 

(6) 与 数据 库 连接 错误 

(7) 数据 通信 错误 


严重 影响 系统 要 求 或 基本 功能 的 实现 , 且 没 有 办 法 更 正 (重新 安装 或 
重新 启动 该 软件 不 属于 更 正 办 法 )。 如 : 

(1) 功能 不 符 

(2) 程序 接口 错误 

(3) 数据 流 错误 

(4) 轻微 数据 计算 错误 


影响 系统 要 求 或 基本 功能 的 实现 ,但 存在 合理 的 更 正 办 法 。 如 : 
(1) 界面 错误 ( 附 详细 说 明 ) 

一 般 缺陷 (2) 打印 内 容 、 格 式 错误 

(Average Severity) (3) 简单 的 输入 限制 未 放 在 前 台 进 行 控 制 

(4) 删除 操作 未 给 出 提示 

(5) 数据 输入 没有 边界 值 限定 或 不 合理 


使 操作 者 不 方便 或 遇 到 麻烦 ,但 不 影响 执行 工作 或 功能 实现 。 如 : 
(1) 辅助 说 明 描 述 不 清楚 

(2) 显示 格式 不 规范 

(3) 系统 处 理 未 优化 

(4) 长 时 间 操 作 未 给 用 户 进度 提示 

(5) 提示 窗口 文字 未 采用 行业 术语 

(1) 对 系统 使 用 的 友好 性 有 影响 ,例如 名 词 拼写 错误 .界面 布局 或 色 
改进 型 缺陷 (Enhancement) 彩 问 题 文档 的 可 读 性 一致 性 等 

(2) 建议 


较 严重 缺陷 (Major) 


次 要 缺陷 (Minor) 
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缺陷 的 严重 级 别 可 根据 项 目的 实际 情况 制定 ,一 般 在 系统 需求 评审 通过 后 ,由 开发 人 员 、 
测试 人 员 等 组 成 相关 人 员 共 同 讨论 ,达成 一 致 ,为 后 续 的 系统 测试 的 Bug 级 别 判断 提供 依据 。 


3. 缺陷 优先 级 


缺陷 优先 级 是 指 缺陷 必须 被 修复 的 紧急 程度 。 一 般 地 ,严重 级 别 程度 高 的 缺陷 具有 较 
高 的 优先 级 。 严 重 性 高 说 明 缺 陷 对 软件 造成 的 质量 危害 大 ,需要 优先 处 理 , 而 严重 性 低 的 缺 
陷 可 能 只 是 软件 的 一 些 局 部 的 .轻微 的 问题 ,可 以 稍 后 处 理 。 但 是 ,严重 级 别 和 优先 级 并 不 
总 是 一 一 对 应 的 。 有 时 候 严 重 级 别 高 的 缺陷 ,优先 级 不 一 定 高 ,而 一 些 严重 级 别 低 的 缺陷 却 
需要 及 时 处 理 ,因此 具有 较 高 的 优先 级 。 

缺陷 优先 级 如 表 1-3 所 示 。 


表 1-3 缺陷 优先 级 示例 


缺陷 优先 级 描 述 
I 级 (Resolve Immediately) 缺陷 必须 被 立即 解决 
了 [级 (Normal Queue) 缺陷 需要 正常 排队 等 待 修复 或 列 人 软件 发 布 清单 
亚 级 (Not Urgent) 缺陷 可 以 在 方便 时 被 纠正 
4. 缺陷 状态 


缺陷 状态 是 指 缺 陷 通过 一 个 跟踪 修复 过 程 的 进展 情况 。 缺 陷 管理 过 程 中 的 主要 状态 如 
表 1-4 所 示 。 


表 1-4 缺陷 状态 示例 


缺陷 状态 描 述 
新 缺陷 (New) 已 提交 到 系统 中 的 缺陷 
接受 (Accepted) 经 缺陷 评审 委员 会 的 确认 ,认为 缺陷 确实 存在 
已 分 配 (Assigned) 缺陷 已 分 配给 相关 的 开发 人 员 进 行 修改 
已 打开 (Open) 开发 人 员 开 始 修改 缺陷 ,缺陷 处 于 打开 状态 
已 拒绝 (Rejected) 拒绝 已 经 提交 的 缺陷 ,不 需 修复 或 不 是 缺陷 或 需 重新 提交 
推迟 (Postpone) 推迟 修改 
已 修复 (Fixed) 开发 人 员 已 修改 缺陷 
已 解决 (Resolved) 缺陷 被 修改 ,测试 人 员 确 认 缺 陷 已 修复 
重新 打开 (Reopen) 回归 测试 不 通过 ,再 次 打开 状态 
已 关闭 (Closed) 已 经 被 修改 并 测试 通过 ,将 其 关闭 


除了 以 上 主要 状态 外 ,在 缺陷 管理 过 程 中 ,还 存在 其 他 一 些 状态 。 

(1) Investigate( 研 究 ) : 当 缺 陷 分 配给 开发 人 员 时 ,开发 人 员 并 不 是 都 可 以 直接 找到 相 
关 的 解决 方案 的 。 开 发 人 员 需 要 对 缺陷 和 引起 缺陷 的 原因 进行 调查 研究 ,这 时 候 可 以 将 缺 
陷 状 态 改 为 研究 状态 。 

(2) Query & Reply( 询 问 / 回 答 ): 负责 缺陷 修改 的 开发 工程 师 认 为 相关 的 缺陷 描述 信 
息 不 够 明确 ,或 希望 得 到 更 多 和 缺陷 相关 的 配置 和 环境 条 件 , 或 引起 缺陷 时 系统 产生 的 调试 
命令 和 信息 等 。 
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(3) Duplicate( 重 复 ) : 缺陷 评审 委员 会 认为 这 个 缺陷 和 某 个 已 经 提交 的 缺陷 是 同一 个 
问题 ,因此 设置 为 重复 状态 。 

(4) Reassigned( 再 分 配 ) : 缺陷 需要 重新 分 配 。 

(5) Unplanned( 无 计划 ): 在 用 户 需求 中 没有 要 求 或 计划 。 

(6) Wontfix( 不 修复 ): 问题 无 法 修复 或 者 不 用 修复 。 


1.2.3 软件 缺陷 管理 
1. 缺陷 管理 流程 


为 正确 跟踪 软件 中 缺陷 的 处 理 过 程 .通常 将 软件 测试 中 发 现 的 缺陷 作为 记录 输入 到 缺 
陷 跟 踪 管 理 系统 。 在 缺陷 管理 系统 中 ,缺陷 的 状态 主要 有 提交 、 确 认 、 拒 绝 、\ 修 正和 已 关闭 
等 ,其 生命 周期 一 般 要 经 历 从 被 发 现 和 报告 ,到 被 打开 和 修复 ,再 到 被 验证 和 关闭 等 过 程 。 
缺陷 的 跟踪 和 管理 一 般 借助 于 工具 来 实施 。Bugzilla 缺陷 跟踪 系统 中 的 缺陷 管理 流程 如 
图 1-1 所 示 。 

缺陷 管理 的 流程 说 明 如 下 。 

(1) 测试 人 员 发 现 软件 缺陷 ,提交 新 缺陷 人 库 ,缺陷 
状态 设置 为 New。 

(2) 软件 测试 经 理 或 高 级 测试 经 理 对 新 提交 的 缺陷 
i 进行 确认 。 若 确认 是 缺陷 , 则 分 配给 相应 的 开发 人 员 , 将 
1 T 缺陷 状态 设置 为 Open 状态 。 若 不 是 缺陷 (或 缺陷 描述 不 
处 理 缺陷 清楚 ) 则 拒绝 ,设置 为 Declined 状态 。 

(3) 开发 人 员 对 标记 为 Open 状态 的 缺陷 进行 确认 ， 
若 不 是 缺陷 ,修改 状态 为 Declined; 若是 缺陷 , 则 进行 修 
复 ,修复 后 将 缺陷 状态 改 为 Fixed。 对 于 不 能 解决 的 锯 
陷 , 提 交 到 项 目 组 会 议 评审 , 以 做 出 延期 或 进行 修改 等 


提交 缺陷 


国 141 忌 防 管理 一 般 流程 图 (4) 测试 人 员 查 询 状态 为 Fixed 的 缺陷 ,然后 通过 测 


试 ( 即 回归 测试 ) 验证 缺陷 是 否 已 解决 。 如 果 缺 陷 已 经 解决 , 则 将 此 缺陷 的 状态 置 为 
Closed。 如 果 缺 陷 依然 存在 或 者 还 引入 了 新 的 缺陷 , 则 置 缺 陷 状 态 为 Reopen。 

对 于 已 被 验证 后 已 经 关闭 的 缺陷 ,由 于 种 种 原因 被 重新 打开 ,测试 人 员 将 此 类 缺陷 标记 
为 Reopen, 重 新 经 历 修正 和 测试 等 阶段 。 

在 缺陷 管理 过 程 中 ,应 加 强 测试 人 员 与 开发 人 员 之 间 的 交流 ,对 于 那些 不 能 重 现 的 缺陷 
或 很 难 重 现 的 缺陷 ,可 以 请 测试 人 员 补 充 必要 的 测试 用 例 , 给 出 详细 的 测试 步骤 和 方法 。 同 
时 ,还 需要 注意 以 下 一 些 细节 。 

(1) 软件 缺陷 跟踪 过 程 中 不 同 阶段 是 测试 人 员 、 开 发 人 员 、 配 置 管理 人 员 和 项 目 经 理 等 
协调 工作 的 过 程 ,要 保持 良好 的 沟通 ,尽量 与 相关 的 各 方 人 员 达 成 一 致 。 

(2) 测试 人 员 在 评估 软件 缺陷 的 严重 性 和 优先 级 上 ,要 根据 事先 制定 的 相关 标准 或 规 
范 来 判断 ,应 具 独 立 性 、 权 威 性 , 若 不 能 与 开发 人 员 达 成 一 致 ,由 产品 经 理 来 裁决 。 

(3) 当 发 现 一 个 缺陷 时 ,测试 人 员 应 分 配给 相应 的 开发 人 员 。 若 无 法 判断 合适 的 开发 
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人 员 ,应 先 分 配给 开发 经 理 , 由 开发 经 理 进 行 二 次 分 配 。 

(4) 一 旦 缺陷 处 于 修正 状态 ,需要 测试 人 员 的 验证 ,而 且 应 围绕 该 缺陷 进行 相关 的 回归 
测试 ,并 且 包 含 该 缺陷 修正 的 测试 版 本 是 从 配置 管理 系统 中 下 载 的 ,而 不 是 由 开发 人 员 私 下 
给 的 测试 版 本 。 

(5) 只 有 测试 人 员 有 关闭 缺陷 的 权限 ,开发 人 员 没 有 这 个 权限 。 


2. 缺陷 描述 


测试 人 员 发 现 缺 陷 后 ,需要 对 缺陷 进行 详细 的 描述 。 对 缺陷 的 描述 一 般 包 含 以 下 内 容 。 

(1) 缺陷 ID: 唯一 的 缺陷 标识 符 , 可 以 根据 该 ID 追踪 缺陷 。 

(2) 缺陷 标题 : 描述 缺陷 的 名 称 。 

(3) 缺陷 状态 : 标明 缺陷 所 处 的 状态 ,如 “新 建 "“ 打 开 ”、“ 已 修复 ”“ 关 闭 ” 等 。 

(4) 缺陷 的 详细 说 明 : 对 缺陷 进行 详细 描述 ,说 明 缺 陷 复 现 的 步骤 等 。 对 缺陷 描述 的 
详细 程度 直接 影响 开发 人 员 对 缺陷 的 修改 ,描述 应 该 尽 可 能 详细 。 

(5) 缺陷 的 严重 程度 : 指 因 缺 陷 引起 的 故障 对 软件 产品 的 影响 程度 。 

(6) 缺陷 的 紧急 程度 : 指 缺 陷 必 须 被 修复 的 紧急 程度 (优先 级 ) 。 

(7) 缺陷 提交 人 : 缺陷 提交 人 的 名 字 。 

(8) 缺陷 提交 时 间 : 缺陷 提交 的 时 间 。 

(9) 缺陷 所 属 项 目 / 模 块 : 缺陷 所 属 的 项 目 和 模块 .最 好 能 较 精确 地 定位 至 模块 。 

(10) 缺陷 解决 人 : 最 终 解决 缺陷 的 人 。 

(11) 缺陷 处 理 结果 描述 : 对 处 理 结果 的 描述 ,如 果 对 代码 进行 了 修改 ,要 求 在 此 处 体 
现 出 修改 的 内 容 。 

(12) 缺陷 处 理 时 间 : 缺陷 被 修正 的 时 间 。 

(13) 缺陷 复核 人 : 对 被 处 理 缺 陷 复核 的 验证 人 。 

(14) 缺陷 复核 结果 描述 : 对 复核 结果 的 描述 (通过 、 不 通过 ) 。 

(15) 缺陷 复核 时 间 : 对 缺陷 复核 的 时 间 。 

(16) 测试 环境 说 明 : 对 测试 环境 的 描述 。 

(17) 必要 的 附件 : 对 于 某 些 文字 很 难 表达 清楚 的 缺陷 ,使 用 图 片 等 附件 是 必要 的 。 

除 上 述 描述 项 外 ,配合 不 同 的 统计 角度 ,还 可 以 添加 “缺陷 引入 阶段 "“ 缺 陷 修 正 工作 
量 等 属性 。 


3. 缺陷 提交 原则 


缺陷 报告 是 测试 过 程 中 提交 的 最 重要 的 东西 , 它 的 重要 性 丝毫 不 亚 于 测试 计划 ,并 且 比 
其 他 的 在 测试 过 程 中 的 产 出 文档 对 产品 质量 的 影响 更 大 。 对 缺陷 的 描述 要 求 准确 .简洁 、 步 
又 清楚 ,有 实例 、 易 再 现 、 复 杂 问 题 有 据 可 查 (截图 或 其 他 形式 的 附件 ) 。 

有 效 的 缺陷 报告 需要 做 到 以 下 6 点 。 

(1) 单一 : 每 个 报告 只 针对 一 个 软件 缺陷 。 

(2) 再 现 : 不 要 忽视 或 省 略 任 何 一 项 操作 步 又 ,特别 是 关键 性 的 操作 一 定 要 描述 清楚 ， 
确保 开发 人 员 按照 所 述 的 步骤 可 以 再 现 缺 陷 。 

(3) 完整 : 提供 完整 的 缺陷 描述 信息 。 
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(4) 简洁 : 使 用 专业 语言 ,清晰 而 简短 地 描述 缺陷 ,不 要 添加 无 关 的 信息 。 确 保 所 包含 
信息 是 最 重要 的 ,而 且 是 有 用 的 ,不 要 写 无 关 信息 。 

(5) 客观 : 用 中 性 的 语言 客观 描述 事实 ,不 带 偏见 ,不 用 幽默 或 者 情绪 化 的 语言 。 

(6) 特定 条 件 : 必须 注 明 缺陷 发 生 的 特定 条 件 。 


EE 测试 用 例 


1.3.1 什么 是 测试 用 例 


测试 用 例 (Test Case) 是 为 某 个 特定 测试 目标 而 设计 的 , 它 是 输入 数据 操作 过 程序 列 、 
条 件 、 期 望 结果 及 相关 数据 的 一 个 特定 的 集合 。 因 此 ,测试 用 例 必须 给 出 测试 目标 ,测试 对 
象 , 测 试 环 境 、 前 提 条 件 , 输 入 数据 测试 步骤 和 预期 结果 。 

(1) 测试 目标 : 回答 为 什么 测试 ,如 测试 软件 的 功能 性能、 兼容 性 、 安 全 性 等 。 

(2) 测试 对 象 : 回答 测试 什么 ,如 对 象 .类 、 函 数 、 接 口 等 。 

(3) 测试 环境 : 测试 用 例 运行 时 所 处 的 环境 ,包括 系统 的 软 硬 件 配 置 和 设 定 等 要 求 。 

(4) 前 提 条 件 : 在 满足 什么 条 件 下 开始 测试 ,也 就 是 测试 用 例 运行 时 所 需要 的 前 提 条 件 。 

(5) 输入 数据 : 运行 测试 时 需要 输入 哪些 测试 数据 , 即 在 测试 时 ,系统 所 接受 的 各 种 可 
变化 的 数据 组 ; 

(6) 测试 步骤 : 运行 测试 用 例 的 操作 步骤 序列 ,例如 先 打开 对 话 框 ,输入 第 一 组 测试 数 
据 , 单 击 [运行 ] 按 钮 等 。 

(7) 预期 结果 : 按 操作 步骤 序列 运行 测试 用 例 时 ,被 测 件 的 预期 运行 结果 。 

测试 用 例 的 设计 和 编制 是 软件 测试 活动 中 最 重要 的 工作 内 容 。 测 试用 例 是 测试 工作 的 
指导 ,是 软件 测试 必须 遵守 的 准则 ,更 是 软件 测试 质量 稳定 的 根本 保障 。 

测试 用 例 设 计 就 是 将 软件 测试 的 行为 做 一 个 科学 化 的 组 织 归 纳 。 常 用 的 测试 用 例 设计 
技术 有 黑 盒 测 试 技术 和 白 盒 测试 技术 。 


1.3.2 黑 盒 测试 技术 


黑 盒 测试 是 从 软件 外 部 对 软件 实施 的 一 种 测试 。 测 试 者 通过 被 测试 软件 的 输入 和 输出 
之 间 的 关系 或 软件 的 功能 来 测试 ,以 检查 软件 是 否 按照 需求 规格 说 明 书 的 规定 正常 运行 。 
黑 盒 测 试 把 软件 看 成 一 个 打 不 开 的 黑 盒 .无 法 了 解 程序 内 部 结构 ,只 依据 软件 的 外 部 特性 来 
进行 测试 。 黑 盒 测 试 时 ,测试 人 员 从 用 户 观点 出 发 ,根据 需求 规格 说 明 书 设计 测试 用 例 ,以 
尽 可 能 地 发 现 软件 缺陷 。 

常用 的 黑 盒 测 试 方法 有 等 价 类 划分 ,边界 值 分 析 、 基 于 判定 表 的 测试 .因果 图 法 、 正 交 试 


1. 等 价 类 划分 法 


(1) 等 价 类 
等 价 类 划分 测试 法 (Equivalence Partition Testing) 是 把 所 有 可 能 的 输入 数据 . 即 程序 
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的 输入 域 划分 成 若干 个 互 不 相交 的 子 集 , 并 且 划 分 的 各 个 子 集 是 由 等 价 关系 决定 的 ,然后 从 
每 一 个 子 集中 选取 少数 具有 代表 性 的 数据 作为 测试 用 例 。 这 样 可 以 使 用 较 少 的 测试 用 例 ， 
达到 较 好 的 测试 效果 ,保证 了 测试 的 完备 性 和 无 宛 余 性 。 

等 价 类 中 的 等 价 关系 是 指 在 子 集合 中 ,各 个 输入 数据 对 于 揭露 程序 中 的 错误 都 是 等 效 
的 ,并 合理 地 假定 测试 某 等 价 类 的 代表 值 就 等 同 于 对 这 个 类 中 其 他 值 的 测试 。 也 就 是 说 ,如 
果 等 价 类 中 某 个 输入 条 件 不 能 导致 问题 发 生 ,那么 对 该 等 价 类 中 其 他 输入 条 件 进行 测试 也 
不 可 能 发 现 错误 。 

使 用 等 价 类 划分 法 设计 测试 用 例 时 ,需要 同时 考虑 有 效 等 价 类 和 无 效 等 价 类 。 因 为 用 
户 在 使 用 软件 时 ,有 意 或 无 意 输入 一 些 非法 的 数据 是 常 有 的 事情 。 软 件 不 仅 要 能 接收 合理 
的 数据 ,也 要 能 经 受 意外 的 考验 ,这 样 的 测试 才能 确保 软件 具有 更 高 的 可 靠 性 。 
有 效 等 价 类 是 指 对 于 程序 的 规格 说 明 来 说 是 合理 的 ,有 意义 的 输入 数据 构成 的 集合 。 
有 效 等 价 类 可 检验 程序 是 否 实 现 了 规格 说 明 中 所 规定 的 功能 和 性 能 。 
无 效 等 价 类 与 有 效 等 价 类 的 定义 恰巧 相反 。 无 效 等 价 类 是 指 对 于 程序 的 规格 说 明 是 不 
合理 的 或 无 意义 的 输入 数据 所 构成 的 集合 。 对 于 具体 的 问题 ,无 效 等 价 类 至 少 应 有 一 个 ,也 
可 能 有 多 个 。 

(2) 等 价 类 划分 方法 

等 价 类 划分 首先 要 分 析 程 序 所 有 可 能 的 输入 情况 ,然后 按照 下 列 规则 对 其 进行 划分 。 

O 按照 区 间 划 分 

在 输入 条 件 规定 了 取 值 范围 或 值 的 个 数 的 情况 下 , 则 可 以 确立 一 个 有 效 等 价 类 和 两 个 
无 效 等 价 类 。 例 如 , 某 程序 输入 学 生成 绩 ,其 有 效 范围 是 [0,100], 则 输入 条 件 的 等 价 类 可 分 
为 有 效 等 价 类 [0,100] ,无 效 等 价 类 (一 cc,0) 和 (100, 十 cc) 。 

@ 按照 数值 划分 

输入 条 件 规定 了 输入 数据 的 一 组 值 ( 假 定 n 个), 且 程序 要 对 每 一 个 输入 值 分 别处 理 的 
情况 下 ,可 确立 个 有 效 等 价 类 和 一 个 无 效 等 价 类 。 

例如 : 某 程 序 输入 月 份 ,其 取 值 是 一 个 固定 的 枚 举 类 型 {1,2,3,4,5,6,7,8,9,10,11,12})， 
并 且 程 序 中 对 这 些 数 值 分 别 进行 了 处 理 , 则 有 效 等 价 类 分 别 为 这 12 个 值 ,无 效 等 价 类 为 这 
12 个 值 以 外 的 数据 组 成 的 集合 。 

@ 按照 数值 集合 划分 

在 输入 条 件 规定 了 输入 值 的 集合 或 者 规定 了 “必须 如 何 ” 的 情况 下 ,可 确立 一 个 有 效 等 
价 类 和 一 个 无 效 等 价 类 。 例 如 , 某 程 序 标 识 符 的 输入 条 件 是 “必须 以 字母 开头 ”, 则 可 以 这 样 
划分 等 价 类 :“ 以 字母 开头 ”作为 有 效 等 价 类 ,“ 以 非 字 母 开 头 ” 作 为 无 效 等 价 类 。 

@ 输入 条 件 是 一 个 布尔 量 时 ,可 确定 一 个 有 效 等 价 类 和 一 个 无 效 等 价 类 。 例 如 : 验证 
码 在 登录 各 种 网 站 时 经 常 使 用 。 验 证 码 是 一 种 布尔 型 取 值 ,True 或 者 False。 对 于 验证 码 ， 
可 划分 出 一 个 有 效 等 价 类 和 一 个 无 效 等 价 类 。 

@@ 细 分 等 价 类 

在 已 划分 的 等 价 类 中 ,各 元 素 在 程序 处 理 中 的 方式 如 果 不 同 , 则 应 再 将 该 等 价 类 进一步 
划分 为 更 小 的 等 价 类 。 例 如 : 程序 用 于 判断 几何 图 形 的 形状 , 则 可 以 首先 根据 边 数 划分 出 
三 角形 、 四 边 形 、 五 边 形 、 六 边 形 等 。 然 后 对 于 每 一 种 类 型 ,可 以 做 进一步 的 划分 ,例如 三 角 
形 可 以 进一步 分 为 等 边 三 角形 .等 腰 三 角形 、 一 般 三 角形 。 


利 
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等 价 类 划分 还 应 特别 注意 默认 值 . 空 值 `.Null.0 等 情形 。 

(3) 等 价 类 划分 法 的 运用 

例 1: 某 一 种 8 位 计算 机 ,其 十 六 进 制 常数 的 定义 是 以 0x 或 0X 开头 的 十 六 进 制 整数 ， 
其 取 值 范 围 为 一 7{ 一 7{( 不 区 分 大 小 写字 母 ) ,如 0xl1.0x2A、 一 0x3c。 下 面 用 等 价 类 划分 法 
设计 测试 用 例 。 

Q@ 划分 等 价 类 ,如 表 1-5 所 示 。 


表 1-5 等 价 类 表 
输入 条 件 有 效 等 价 类 编号 无 效 等 价 类 编号 
符号 无 1 | 长 度 大 于 1 的 字符 串 8 
十 或 一 2 | 非 十 和 一 的 一 个 其 他 字符 9 
0X 3 “| 一 个 数字 或 字符 10 
前 级 长 度 大 于 2 的 数字 字符 串 11 
x 
长 度 为 2 的 非 0x 和 0X 字符 串 起 
非 数字 符号 13 
一 0 到 7 之 间 的 数 5 
人 大 于 7 的 整数 14 
数字 6 “| 非 数字 非 字 母 的 符号 15 
PR a 到 的 字母 或 A 到 下 的 字母 7 | 其 他 字母 16 


注 : 等 价 类 的 划分 有 多 种 ,只 要 满足 无 元 余 和 遗漏 就 可 以 。 


@ 根据 上 述 等 价 类 设计 测试 用 例 , 如 表 1-6 所 示 。 


表 1-6 测试 用 例 
输入 数据 
测试 用 例 编 号 预期 结果 | 覆盖 等 价 类 
符号 前 缀 第 一 位 数值 | 第 二 位 数值 

L Ox F 5 接收 1.3.5.6 
2 一 0X 0 A 接收 2,4,5,7 
3 Ab Ox 0 § 拒绝 8 

4 * 0X 0 a 拒绝 9 

5 * A 0 B 拒绝 10 

6 01X 5 ' 拒绝 11 

+ Ab 6 3 拒绝 12 

8 ee Ox a B 拒绝 13 

9 二 OX 8 9 拒绝 14 

10 4 Ox 7 * 拒绝 15 

0X 5 Z 拒绝 16 

2. 边界 值 分 析 


(1) 边界 值 
对 于 软件 缺陷 ,有 和 句 谚语 :“ 缺 陷 遗 漏 在 角落 里 ,聚集 在 边界 上 ”。 边 界 值 测试 背后 的 基 
本 原理 是 错误 更 可 能 出 现在 输入 变量 的 极 值 附近 。 边 界 值 分 析 关 注 的 是 输入 空间 的 边界 。 
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因此 针对 各 种 边界 情况 设计 测试 用 例 , 可 以 查 出 更 多 的 错误 。 

一 般 情况 下 ,确定 边界 值 应 遵循 以 下 几 条 原则 。 

Q@ 如 果 输 入 条 件 规定 了 值 的 范围 , 则 应 取 刚 达到 这 个 范围 的 边界 值 , 以 及 刚刚 超越 这 
个 范围 的 边界 值 作为 测试 输入 数据 。 

@ 如 果 输 入 条 件 规定 了 值 的 个 数 , 则 用 最 大 个 数 、 最 小 个 数 、 比 最 小 个 数 少 1、 比 最 大 个 
数 多 1 的 数 作 为 测试 数据 。 

@ 如 果 程 序 的 规格 说 明 给 出 的 输入 域 或 输出 域 是 有 序 集合 , 则 应 选取 集合 的 第 一 个 元 
素 和 最 后 一 个 元 素 作为 测试 数据 。 

外 如 果 程 序 中 使 用 了 一 个 内 部 数据 结构 , 则 应 当选 择 这 个 内 部 数据 结构 的 边界 上 的 值 
作为 测试 数据 。 

@ 分 析 规格 说 明 , 找 出 其 他 可 能 的 边界 条 件 。 

分 析 变 量 之 间 的 相关 性 ,以 选取 合理 的 测试 数据 。 

@ 取 中 间 值 或 正常 值 时 ,只 要 所 取 的 值 在 正常 范围 内 就 可 以 了 。 

@ 取 小 于 最 小 值 的 数 时 ,可 以 根据 情况 取 多 个 ,如 小 于 最 小 的 负数 、 零 ,小数 等 。 

加 取 大 于 最 大 值 的 数 时 ,可 以 根据 情况 取 多 个 。 当 系统 没有 规定 最 大 值 时 ,可 根据 业 
务 要 求 ,选取 足够 大 的 数据 就 可 以 了 。 

(2) 边界 值 分 析 法 设计 测试 用 例 

边界 值 分 析 (Boundary Values Analysis) 的 基本 思想 是 使 用 输入 变量 的 最 小 值 . 略 高 于 
最 小 值 . 正 常 值 . 略 低 于 最 大 值 和 最 大 值 设 计 测 试用 例 ,通常 用 min、min 十 ,nom、max 一 和 
max 来 表示 。 如 果 要 考虑 无 效 输入 , 则 边界 取 值 里 增加 两 个 值 : 略 小 于 最 小 值 Cmin 一 ) 和 略 
高 于 最 大 值 Cmax 十 ) 。 

当 一 个 函数 或 程序 有 两 个 及 两 个 以 上 的 输入 变量 时 ,就 需要 考虑 如 何 组 合 各 变量 的 取 
值 。 我 们 可 根据 可 靠 性 理论 中 的 单 缺 陷 假 设 和 多 缺陷 假设 来 考虑 。 单 缺陷 假设 是 指 失效 极 
少 是 由 两 个 或 两 个 以 上 的 缺陷 同时 发 生 引起 的 。 因 此 依据 单 缺 陷 假设 来 设计 测试 用 例 , 只 
需 让 一 个 变量 取 边 界 值 ,其 余 变 量 取 正 常 值 。 多 缺陷 假设 是 指 失效 是 由 两 个 或 两 个 以 上 缺 
陷 同 时 作用 引起 的 。 因 此 依据 多 缺陷 假设 来 设计 测试 用 例 , 要 求 在 选取 测试 用 例 时 同时 让 
多 个 变量 取 边 界 值 。 

在 边界 值 分 析 中 ,用 到 了 单 缺 陷 假设 , 即 选 取 测试 用 例 时 仅仅 使 得 一 个 变量 取 极 值 ,其 
他 变量 均 取 正 常 值 。 如 果 程 序 /系统 的 输入 中 只 有 一 个 变量 ,设计 测试 用 例 时 ,直接 取 边 界 
值 作 为 测试 数据 ,检查 系统 功能 是 否 正确 。 如 果 输 入 变量 有 多 个 ,设计 测试 用 例 时 ,使 一 个 
变量 取 边 界 值 , 其 他 变量 取 正 常 值 ,设计 足够 的 测试 用 例 ,使 每 个 变量 的 边界 值 都 覆盖 到 。 
例如 : 对 于 有 两 个 输入 变量 的 程序 P, 其 边界 值 分 析 的 测试 用 例 为 { 二 xinom ,xzmn 二 ,二 xnom， 
人 
A iia i ity ms 

(3) 边界 值 分 析 法 运用 

例 2: 输入 三 个 整数 a.b、c, 分 别 作 为 三 角形 的 三 条 边 , 通 过 程序 判断 这 三 条 边 是 否 能 
构成 三 角形 。 如 果 能 构成 三 角形 , 则 判断 出 三 角形 的 类 型 (等 边 三 角形 ,等 腰 三 角形 一般 三 
角形 )。 要 求 输入 的 三 个 整数 a、b、c 必须 满足 条 件 1<a<100、1<b<100、1<c<100。 下 面 
用 边界 值 分 析 法 设计 测试 用 例 。 
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@ 分 析 各 变量 取 值 


三 角形 三 条 边 a,b,c 的 边界 取 值 是 一 1,1,2,50,99,100,101。 


@ 设计 测试 用 例 


用 边界 值 分 析 法 设计 测试 用 例 就 是 使 一 个 变量 取 边界 值 ,其余 变 量 取 正常 值 ,然后 对 每 
个 变量 重复 进行 。 本 例 用 边界 值 分 析 法 设计 的 测试 用 例 见 表 1-7。 


表 1-7 三 角形 问题 的 测试 用 例 


输入 数据 
测试 用 例 编号 预期 输出 
a b C 

1 50 50 一 】 输入 无 效 
2 50 50 等 腰 三 角形 
3 50 50 2 等 腰 三 角形 
4 50 50 50 等 边 三 角形 
5 50 50 99 等 腰 三 角形 
6 50 50 100 非 三 角形 
7 50 50 101 输入 无 效 
8 50 一 1 50 输入 无 效 
9 50 1 50 等 腰 三 角形 
10 50 2 50 等 腰 三 角形 
11 50 99 50 等 腰 三 角形 
12 50 100 50 非 三 角形 
13 50 101 50 输入 无 效 
14 = 50 50 输入 无 效 
15 1 50 50 等 腰 三 角形 
16 二 50 50 等 腰 三 角形 
17 99 50 50 等 腰 三 角形 
18 100 50 50 非 三 角形 
19 101 50 50 输入 无 效 


3. 基于 判定 表 的 测试 


(1) 判定 表 


自从 20 世纪 60 年 代 初 以 来 ,判定 表 (Decision Table, 也 叫 决 策 表 ) 就 一 直 被 用 来 分 析 
和 表示 复杂 逻辑 关系 。 判 定 表 能 够 将 复杂 的 问题 按照 各 种 可 能 的 情况 全 部 列举 出 来 ,简明 
并 避免 遗漏 。 因 此 ,利用 判定 表 能 够 设计 出 完整 的 测试 用 例 集合 。 在 所 有 功能 性 测试 方法 


中 ,基于 判定 表 的 测试 方法 是 最 严格 的 。 


判定 表 通 常 由 4 个 部 分 组 成 ,如 图 1-2 所 示 。 
@ 条 件 桩 (Condition Stub): 列 出 了 问题 的 所 有 条 


件 ,通常 认为 列 出 的 条 件 的 次 序 无 关 紧 要 。 
@ 动作 桩 (Action Stub): 列 出 了 问题 规定 可 能 采 


条 件 桩 条 件 项 
规 
则 
动作 桩 动作 项 
1-2 判定 表 结 构 


取 的 操作 。 这 些 操作 的 排列 顺序 没有 约束 。 
图 条 件 项 (Condition Item): 列 出 对 应 条 件 桩 的 
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取 值 。 

人 @ 动作 项 (Action Item) : 列 出 在 条 件 项 的 各 种 取 值 情况 下 应 该 采取 的 动作 。 

动作 项 和 条 件 项 紧密 相关 , 它 指 出 了 在 条 件 项 的 各 组 取 值 情况 下 应 采取 的 动作 。 任 何 
一 个 条 件 组 合 的 特定 取 值 及 其 相应 要 执行 的 操作 称 为 规则 。 在 判定 表 中 贯穿 条 件 项 和 动作 
项 的 一 列 就 是 一 条 规则 。 规 则 指示 了 在 规则 的 各 条 件 项 指示 的 条 件 下 要 采取 动作 项 中 的 行 
为 。 显 然 ,判定 表 中 列 出 多 少 组 条 件 取 值 ,也 就 有 多 少 条 规则 , 即 条 件 项 和 动作 项 有 多 少 列 。 

为 了 使 用 判定 表 标 识 测试 用 例 ,在 这 里 把 条 件 解 释 为 程序 的 输入 ,把 动作 解释 为 程序 的 
输出 。 在 测试 时 ,有 时 条 件 最 终 引 用 输入 的 等 价 类 ,动作 引用 被 测 程序 的 主要 功能 处 理 ,这 
时 规则 就 解释 为 测试 用 例 。 判 定 表 的 特点 ,可 以 保证 我 们 能 够 取 到 输入 条 件 的 所 有 可 能 的 
条 件 组 合 值 ,因此 可 以 做 到 测试 用 例 的 完整 集合 。 

(2) 用 判定 表 设计 测试 用 例 

使 用 判定 表 进 行 测试 时 ,首先 需要 根据 软件 规格 说 明 建立 判定 表 。 判 定 表 设计 的 步骤 
如 下 。 

@ 确定 规则 的 个 数 

假如 及 个 条 件 , 每 个 条 件 有 两 个 取 值 (“ 真 "“ 假 ”) , 则 会 产生 2" 条 规则 。 如 果 每 个 条 
件 的 取 值 有 多 个 值 , 规 则 数 等 于 各 条 件 取 值 个 数 的 积 。 

@ 列 出 所 有 的 条 件 桩 和 动作 桩 

在 测试 中 ,条 件 桩 一 般 对 应 着 程序 输入 的 各 个 条 件 项 ,而 动作 桩 一 般 对 应 着 程序 的 输出 
结果 或 要 采取 的 操作 。 

@ 填 人 条 件 项 

条 件 项 就 是 每 条 规则 中 各 个 条 件 的 取 值 。 为 了 保证 条 件 项 取 值 的 完备 性 和 正确 性 ,可 
以 利用 集合 的 笛 卡 儿 积 来 计算 。 首 先 找 出 各 条 件 项 取 值 的 集合 ,然后 将 各 集合 作 笛 卡 儿 积 ， 
最 后 将 得 到 的 集合 的 每 一 个 元 素 填 入 规则 的 条 件 项 中 。 

@ 填 入 动作 项 ,得 到 初始 判定 表 

在 填 人 动作 项 时 ,必须 根据 程序 的 功能 说 明 来 填写 。 首 先 根据 每 条 规则 中 各 条 件 项 的 
取 值 ,来 获得 程序 的 输出 结果 或 应 该 采取 的 行动 ,然后 在 对 应 的 动作 项 中 作 标 记 。 

@ 简化 判定 表 、 合 并 相似 规则 (相同 动作 ) 

若 表 中 有 两 条 以 上 规则 具有 相同 的 动作 ,并且 在 条 件 项 之 间 存 在 极为 相似 的 关系 , 便 可 
以 合并 。 合 并 后 的 条 件 项 用 符号 "一 ”表示 ,说明 执 行 的 动作 与 该 条 件 的 取 值 无 关 , 称 为 无 关 
条 件 。 

(3) 判定 表 测 试 法 运用 

例 3: 某 公司 折扣 政策 如 下 。 年 交易 额 在 10 万 元 以 下 的 ,无 折扣 ; 在 10 万 元 以 上 的 并 
且 近 三 个 月 无 欠 款 的 ,折扣 率 10%; 在 10 万 元 以 上 ,虽然 近 三 个 月 有 欠 款 ,但 是 与 公司 交易 
在 10 年 以 上 的 ,折扣 率 8%; 在 10 万 元 以 上 . 近 三 个 月 有 欠 款 , 且 交 易 在 10 年 以 下 的 折扣 
率 5%。 下 面 用 判定 表 来 设计 测试 用 例 。 

QO 根据 问题 描述 的 输入 条 件 和 输出 结果 , 列 出 所 有 的 条 件 柱 和 动作 桩 ,如 表 1-8 所 示 。 

@ 本 例 中 输入 有 三 个 条 件 , 每 个 条 件 的 取 值 为 “是 ”或 “ 否 ”, 因 此 有 2X2X2 一 8 种 
规则 。 

加 每 个 条 件 取 真 假 值 ,并 进行 相应 的 组 合 , 得 到 条 件 项 。 


Web 应 用 程序 测试 


@ 根据 每 一 列 中 各 条 件 的 取 值得 到 所 要 采取 的 行动 , 填 人 动作 项 , 便 得 到 初始 判定 表 ， 


如 表 1-8 所 示 。 


@ 根据 题目 描述 ,可 以 对 判定 表 进 行 简化 ,简化 后 的 判定 表 如 表 1-9 所 示 。 


表 1-8 初始 判定 表 
1 3 4 5 6 学 8 
条 | 年 交易 三 10 万 元 Y Y 到 村 N N N N 
件 | 近 三 月 无 欠 款 区 N N 这 证 N N 
桩 | 与 公司 交易 之 10 年 N 县 N 营 N N 
动 无 折扣 V NA NA V 
作 折扣 率 5% V 
桩 折扣 率 8% NA 
折扣 率 10% JV MM 
表 1-9 简化 后 的 判定 表 
1 2 3 4 
条 年 交易 三 10 万 元 ¥ N N N 
件 近 三 月 无 欠 款 一 Y N N 
桩 与 公司 交易 之 10 年 一 一 到 N 
动 无 折扣 NA 
作 折扣 率 5% NA 
桩 折扣 率 8% NA 
折扣 率 10% JV 
@ 根据 简化 后 的 判定 表 设 计 测试 用 例 ,如 表 1-10 所 示 。 
表 1-10 测试 用 例 
输入 数据 
测试 用 例 编号 预期 输出 
交易 额 近 三 月 有 无 欠 款 | 与 公司 交易 时 间 
1 5 无 无 3 年 无 折扣 
2 12 万 无 11 年 10% 
3 I 下 有 12 年 8% 
4 15 万 有 3 年 5% 
4. 因果 图 法 
(1) 因果 图 


因果 图 中 使 用 了 简单 的 逻辑 符号 ,以 直线 联接 左右 节点 。 左 节点 表示 输入 状态 (或 称 原 
因 ), 右 节点 表示 输出 状态 (或 称 结果 )。 通 常用 c; 表示 原因 ,一 般 置 于 图 的 左 部 ; e; 表示 结 
果 , 通 常 在 图 的 右 部 。c 和 e; 均 可 取 值 0 或 1, 其 中 0 表示 某 状 态 不 出 现 ,1 表示 某 状态 


出 现 。 


因果 图 中 包含 4 种 关系 ,如 图 1-3 所 示 。 
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=1 > er1 
i a0 er 


# OD 

© 0 
WO me 

(9) 

(©) 入 @ c=1 有 cy=1 > e1=1 
与 © 否则 > er=0 


图 1-3 因果 图 基本 符号 


@ 恒 等 ; 若 c 是 1, 则 e 也 是 1; 若 c 是 0, 则 e 为 0。 

@ 非 ;车 cl 是 1, 则 el 是 0; 车 cl 是 0, 则 ee 是 1。 

加 或 : 若 c 或 @ 或 G 是 1, 则 ea 是 1; 若 c cs 和 cs 都 是 0, 则 e 为 0。“ 或 "可 有 任意 
多 个 输入 。 

儿 与 : 若 c 和 cs 都 是 1, 则 e 为 1; 否则 e 为 0。 “与 ?也 可 有 任意 多 个 输入 。 

在 实际 问题 中 输入 状态 相互 之 间 、 输 出 状态 相互 之 间 可 能 存在 某 些 依赖 关系 , 称 为 约 
束 。 为 了 表示 原因 与 原因 之 间 ,结果 与 结果 之 间 可 能 存在 的 约束 条 件 ,在 因果 图 中 可 以 附加 
一 些 表 示 约 束 条 件 的 符号 。 对 于 输入 条 件 的 约束 有 E、I.O、R 4 种 ,对 于 输出 条 件 的 约束 只 
有 M 约束 ,输入 输出 约束 图 形 符号 如 图 1-4 所 示 。 


-AY 
E<* 、 Os 的 RI 

~、 LL © 
(a) E( 异 ) (b) !( 或 ) (©) O( 唯 一 ) (d) R( 要 求 ) (e) M( 强 制 ) 
图 1-4 输入 输出 约束 图 形 符号 


为 便于 理解 ,这 里 设 c .cs 和 cs 表示 不 同 的 输入 条 件 。 

E( 异 ): 表示 Cl 、C2 中 至 多 有 一 个 可 能 为 1, 即 cl 和 cs 不 能 同时 为 1。 

I( 或 ) : 表示 c 、cz、cs 中 至 少 有 一 个 是 1, 即 ci 、ez .cs 不 能 同时 为 0。 

O( 唯 一 ) : 表示 c \cs 中 必须 有 一 个 且 仅 有 一 个 为 1。 

R( 要 求 ): 表示 Cc 是 1 时 ,cs 必须 是 1, 即 不 可 能 Ci 是 时 Cz 是 0。 

M( 强 制 ): 表示 如 果 结 果 e 是 1 时 , 则 结果 e, 强制 为 0。 

(2) 用 因果 图 设计 测试 用 例 

因果 图 可 以 很 清晰 地 描述 各 输入 条 件 和 输出 结果 的 逻辑 关系 。 如 果 在 测试 时 必须 考虑 
输入 条 件 的 各 种 组 合 , 就 可 以 利用 因果 图 。 因 果 图 最 终生 成 的 是 判定 表 。 采 用 因果 图 设计 
测试 用 例 的 步骤 如 下 。 


| 
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O@ 分 析 软 件 规格 说 明 描 述 中 哪些 是 原因 ,哪些 是 结果 。 其 中 ,原因 常常 是 输入 条 件 或 
是 输入 条 件 的 等 价 类 ,结果 常常 是 输出 条 件 。 然 后 给 每 个 原因 和 结果 赋予 一 个 标识 符 。 并 
且 把 原因 和 结果 分 别 画 出 来 ,原因 放 在 左边 一 列 ,结果 放 在 右边 一 列 。 

@ 分 析 软 件 规格 说 明 描 述 中 的 语义 , 找 出 原因 与 结果 之 间 , 原 因 与 原因 之 间 对 应 的 是 
什么 关系 。 根 据 这 些 关 系 , 将 其 表示 成 连接 各 个 原因 与 各 个 结果 的 因果 图 。 

@ 由 于 语法 或 环境 限制 ,有 些 原因 与 原因 之 间 、 原 因 与 结果 之 间 的 组 合 情 况 不 可 能 出 
现 。 为 表明 这 些 特殊 情况 ,在 因果 图 上 用 一 些 记 号 标明 约束 或 限制 条 件 。 

@ 把 因果 图 转换 成 判定 表 。 首 先 将 因果 图 中 的 各 原因 作为 判定 表 的 条 件 桩 ,因果 图 的 
各 个 结果 作为 判定 表 的 动作 桩 。 然 后 给 每 个 原因 分 别 取 * 真 ”和 * 假 "两 种 状态 ,一般 用 0 和 
1 表示 。 最 后 根据 各 条 件 项 的 取 值 和 因果 图 中 表示 的 原因 和 结果 之 间 的 逻辑 关系 ,确定 相 
应 的 动作 项 的 值 ,完成 判定 表 的 填写 。 

@ 把 判定 表 的 每 一 列 拿 出 来 作为 依据 ,设计 测试 用 例 。 

(3) 因果 图 法 设计 测试 用 例 运用 

例 4: 某 软件 规格 说 明 书 要 求 : 第 一 列 字 符 必须 是 A 或 B, 第 二 列 字符 必须 是 一 个 数 
字 , 在 此 情况 下 进行 文件 的 修改 ,但 如 果 第 一 列 字 符 不 正确 , 则 给 出 信息 工 , 如 果 第 二 列 字符 
不 是 数字 , 则 给 出 信息 M。 下 面 用 因果 图 法 设计 测试 用 例 。 

@ 根据 说 明 书 分 析出 原因 和 结果 。 

原因 : 

Cl1: 第 一 列 字符 是 A 

C2: 第 一 列 字符 是 B 

C3: 第 二 列 字 符 是 一 个 数字 

结果 : 

El1: 修改 文件 

E2: 给 出 信息 工 

E3: 给 出 信息 M 

@ 绘制 因果 图 。 

根据 原因 和 结果 绘制 因果 图 。 把 原因 和 结果 用 前 面 的 逻辑 符号 联接 起 来 , 画 出 因果 图 ， 
如 图 1-5(a) 所 示 。 考 虑 到 原因 1 和 原因 2 不 可 能 同时 为 1, 因 此 在 因果 图 上 施加 下 约束 。 
有 具有 约束 的 因果 图 如 图 1-5(b) 所 示 。 


(a) 软件 规格 说 明 书 因果 图 (b) 有 约束 的 因果 图 


1-5 因果 图 
注 : 11 是 中 间 节 点 
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@ 根据 因果 图 所 建立 的 判定 表 , 如 表 1-11 所 示 。 
表 1-11 软件 规格 说 明 书 的 判定 表 


1 3 4 5 6 学 8 

et 1 i 1 1 0 0 0 0 

条 C2 1 1 0 0 1 a 0 0 
件 C3 1 0 1 0 1 0 . 0 
11 一 一 1 1 1 1 0 0 

mn El / / V 0 ~ 0 0 0 
E2 # 0 0 0 0 V V 
E3 / / 0 V 0 人/ 0 Vv 


注意 : 表 中 8 种 情况 的 左面 两 列 情况 中 ,原因 1 和 原因 2 同时 为 1, 这 是 不 可 能 出 现 的 ， 
故 应 排除 这 两 种 情况 。 因 此 只 需 针 对 第 3 一 8 列 设计 测试 用 例 , 见 表 1-12。 


表 1-12 测试 用 例 
测试 用 例 输入 数据 a 预期 输出 

1 A3 修改 文件 

2 AM 给 出 信息 M 

3 B5 修改 文件 

4 Bx* 给 出 信息 M 

5 F2 给 出 信息 L 

6 4 给 出 信息 L 和 ML 
5. 场景 法 
(1) 场景 


现在 的 软件 几乎 都 是 用 事件 触发 来 控制 流程 的 ,事件 触发 时 的 情景 便 形成 了 场景 ,而 同 
一 事件 不 同 的 触发 顺序 和 处 理 结果 就 形成 事件 流 。 这 一 系列 的 过 程 利用 场景 法 可 以 清晰 地 
描述 。 将 这 种 方法 引入 到 软件 测试 中 ,可 以 比较 生动 地 描绘 出 事件 触发 时 的 情景 ,有 利于 测 
试 设计 者 设计 测试 用 例 ,同时 使 测试 用 例 更 容易 理解 和 执行 。 通 过 运用 场景 来 对 系统 的 功 
能 点 或 业务 流程 进行 描述 ,从 而 提高 测试 效果 。 

场景 一 般 包含 基本 流 和 备用 流 。 从 一 个 流程 开始 ,经 过 
遍历 所 有 的 基本 流 和 备用 流 来 完成 整个 场景 。 

对 于 基本 流 和 备 选 流 的 理解 ,可 以 参考 图 1-6。 图 1-6 中 备 渤 流 3 
经 过 用 例 的 每 条 路 径 都 反映 了 基本 流 和 备 选 流 ,都 用 箭头 来 
表示 。 中 间 的 直线 表示 基本 流 , 是 经 过 用 例 的 最 简单 的 路 径 。 备 选 流 1 
备 选 流 用 曲线 表示 。 一 个 备 选 流 可 能 从 基本 流 开始 ,在 某 个 ” 备 选 流 4 
特定 条 件 下 执行 ,然后 重新 加 入 到 基本 流 中 ; 也 可 能 起 源 于 另 
一 个 备 选 流 , 或 者 终止 用 例 而 不 再 重新 加 入 到 某 个 流 。 a 

根据 图 1-6 中 每 条 经 过 用 例 的 可 能 路 径 , 可 以 确定 不 同 的 结束 用 例 结束 用 例 
用 例 场景 。 从 基本 流 开始 ,再 将 基本 流 和 备 选 流 结 合 起 来 ,可 图 1-6 基本 流 和 备 选 流 


开始 用 例 
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以 确定 以 下 用 例 场景 。 

场景 1: 基本 流 ; 

场景 2: 基本 流 、 备 选 流 1; 

场景 3: 基本 流 、 备 选 流 1、 备 选 流 2; 

场景 4: 基本 流 、 备 选 流 3; 

场景 5: 基本 流 、 备 选 流 3、 备 选 流 1; 

场景 6: 基本 流 、 备 选 流 3、 备 选 流 1、 备 选 流 2; 

场景 7: 基本 流 、 备 选 流 4; 

场景 8: 基本 流 、 备 选 流 3、 备 选 流 4。 

注 : 为 方便 起 见 , 场 景 5.6 和 8 只 描述 了 备 选 流 3 指示 的 循环 执行 一 次 的 情况 。 

(2) 场景 法 设计 测试 用 例 

使 用 场景 法 设计 测试 用 例 的 基本 设计 步骤 如 下 。 

@ 根据 说 明 书 或 规约 ,分 析出 系统 或 程序 功能 的 基本 流 及 各 项 备 选 流 。 

@ 根据 基本 流 和 各 项 备 选 流 生成 不 同 的 场景 。 

@ 对 每 一 个 场景 生成 相应 的 测试 用 例 。 

@ 对 生成 的 所 有 测试 用 例 重新 复审 ,去 掉 多 余 的 测试 用 例 。 测 试用 例 确 定 后 ,对 每 一 
个 测试 用 例 确定 测试 数据 。 


6. 错误 推测 法 


错误 推测 法 的 基本 思想 是 列举 出 程序 中 所 有 可 能 存在 的 错误 和 容易 发 生 错 误 的 特殊 情 
况 , 根 据 这 些 特殊 情况 选择 测试 用 例 。 

用 错误 推测 法 进行 测试 ,首先 需 罗列 出 可 能 的 错误 或 错误 倾向 ,进而 形成 错误 模型 ; 然 
后 设计 测试 用 例 以 覆盖 所 有 的 错误 模型 。 例 如 ,对 一 个 排序 的 程序 进行 测试 ,其 可 能 出 错 的 
情况 有 输入 表 为 空 .输入 表 中 只 有 一 个 数字 、 输 入 表 中 所 有 的 数字 都 具有 相同 的 值 输入 表 
已 经 排 好 序 等 情况 。 


1.3.3 和 白 盒 测试 技术 
1. 白 盒 测试 


白 盒 测试 (White Box Testing) 是 按照 程序 内 部 的 结构 测试 程序 ,通过 测试 来 检测 产品 
内 部 动作 是 否 按照 设计 规格 说 明 书 的 规定 正常 进行 ,检验 程序 中 的 每 条 通路 是 否 都 能 按 预 
定 要 求 正确 工作 。 常 用 的 白 盒 测 试 方法 有 逻辑 覆盖 、. 基 路 径 测试 ,数据 流 测 试 , 程 序 插 装 、 域 
测试 等 。 


2. 控制 流 图 


用 白 盒 测 试 技术 设计 测试 用 例 时 ,一 般 需 要 分 析 程 序 内 部 结构 。 在 程序 开发 中 ,我 们 党 
常 使 用 程序 流程 图 (程序 框图 ) ,在 测试 时 ,一 般 使 用 控制 流 图 进行 分 析 。 

控制 流 图 (Control Flow Graph) 是 退化 的 程序 流程 图 ,图 中 每 个 处 理 都 退化 成 一 个 节 
点 , 流 线 变 成 连接 不 同 节点 的 有 向 弧 。 在 控制 流 图 中 仅 描述 程序 内 部 的 控制 流程 ,完全 不 表 
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现 对 数据 的 具体 操作 ,以 及 分 支 和 循环 的 具体 条 件 。 控 制 流 图 将 程序 流程 图 中 结构 化 构件 
改 用 一 般 有 向 图 的 形式 表示 。 

在 控制 流 图 中 用 圆 〇 表示 节点 ,一 个 圆 代表 一 条 或 多 条 语句 。 程 序 流 程 图 中 的 一 
理 框 序列 和 一 个 菱形 判定 框 ,可 以 映射 成 控制 流 图 中 的 一 个 节点 。 控 制 流 图 中 的 箭头 线 称 
为 边 , 它 和 程序 流程 图 中 的 箭头 线 类 似 , 代 表 控 制 流 。 将 程序 流程 图 简化 成 控制 流 图 时 , 需 
要 注意 的 是 在 选择 或 多 分 支 结 构 中 分 支 的 汇聚 处 ,即使 没有 执行 语句 也 应 该 有 一 个 汇聚 
节点 。 

在 控制 流 图 中 ,由 边 和 节点 围 成 的 面积 称 为 区 域 。 当 计算 区 域 数 时 ,应 该 包括 图 外 部 未 
被 围 起 来 的 区 域 。 

基本 控制 流 的 图 形 符号 如 图 1-7 所 示 。 


SO 


(a) 顺序 结构 (b) if 选 择 结 术 (c) while 循 环 结构 。 (d) until 循 环 结构 。 (e) case 多 分 支 结构 


图 1-7 基本 控制 流 的 图 形 符号 


3. 逻辑 覆盖 测试 法 


(1) 逻辑 覆盖 

逻辑 覆盖 测试 (Logic Coverage Testing) 是 根据 被 测试 程序 的 逻辑 结构 设计 测试 用 例 。 
逻辑 柳 盖 测试 考察 的 重点 是 图 中 的 判定 框 。 因 为 这 些 判 定 若 不 是 与 选择 结构 有 关 , 就 是 与 
循环 结构 有 关 , 是 决定 程序 结构 的 关键 成 分 。 

按照 对 被 测 程序 所 作 测试 的 有 效 程度 ,逻辑 覆盖 测试 可 由 弱 到 强 区 分 为 6 种 获 盖 。 
Oa 语句 歼 盖 又 称 行 覆盖 (Line Coverage) ,是 最 常用 的 一 种 著 盖 方 式 。 语 名 覆盖 就 是 设 
计 若 干 个 测试 用 例 ,运行 被 测试 程序 ,使 程序 中 的 每 条 可 执行 语句 至 少 执行 一 次 。 这 里 所 谓 
“若干 个 ”当然 是 越 少 越 好 。 语 名 覆盖 在 所 有 的 逻辑 覆盖 中 是 最 弱 的 覆盖 , 它 只 管 覆 盖 代 码 
中 的 执行 语句 , 却 不 考虑 各 判定 分 支 . 判 定 条 件 、 程 序 执行 路 径 的 组 合 等 。 如 果 仅 仅 达到 语 
句 覆 盖 ,很 难 更 多 地 发 现代 码 中 的 问题 。 

@ 判定 覆盖 (Decision Coverage) 

判定 覆盖 又 称 为 分 支 覆 盖 , 其 基本 思想 是 设计 若干 测试 用 例 ,运行 被 测试 程序 ,使 得 程 
序 中 每 个 判断 的 取 真 分 支 和 取 假 分 支 至 少 经 历 一 次 , 即 判断 的 真 假 值 均 曾 被 满足 。 

判定 覆盖 具有 上 比 语句 覆盖 更 强 的 测试 能 力 ,而 且 具 有 和 语句 覆盖 一 样 的 简单 性 ,无 须 细 
分 每 个 判定 就 可 以 得 到 测试 用 例 。 但 是 ,大 部 分 的 判定 语句 是 由 多 个 逻辑 条 件 组 合 而 成 的 
(例如 ,判定 语句 中 包含 and、or、case), 若 仅仅 判断 其 最 终结 果 , 而 忽略 每 个 条 件 的 取 值 情 
况 ,必然 会 遗漏 一 些 需要 测试 的 内 容 。 

@ 条 件 覆 盖 (Condition Coverage) 

条 件 覆 盖 是 指 设计 若干 测试 用 例 ,执行 被 测 程序 以 后 ,要 使 每 个 判断 中 每 个 条 件 的 可 能 
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取 值 至 少 满足 一 次 , 即 每 个 条 件 至 少 有 一 次 为 真 值 ` 有 一 次 为 假 值 。 

对 于 判定 覆盖 而 言 , 即 使 一 个 布尔 表达 式 含 有 多 个 逻辑 表达 式 也 只 需要 测试 每 个 布尔 
表达 式 的 值 分 别 为 真 和 假 两 种 情况 就 可 以 了 。 条 件 覆 盖 要 检查 每 个 符合 谓词 的 子 表达 式 值 
为 真 和 假 两 种 情况 ,要 独立 衡量 每 个 子 表达 式 的 结果 ,以 确保 每 个 子 表达 式 的 值 为 真 和 假 两 
种 情况 都 被 测试 到 。 

@ 判定 -条 件 覆 盖 (Decision-condition Coverage) 

判定 -条 件 覆 盖 是 将 判定 覆盖 和 条 件 覆 盖 结 合 起 来 , 即 设计 足够 的 测试 用 例 , 使 得 判断 
条 件 中 的 每 个 条 件 的 所 有 可 能 取 值 至 少 执行 一 次 ,并 且 每 个 判断 本 身 的 可 能 判定 结果 也 至 
少 执行 一 次 。 

@ 条 件 组 合 覆 盖 (Condition Combination Coverage) 

条 件 组 合 覆 盖 是 指 设计 足够 的 测试 用 例 ,运行 被 测 程序 ,使 得 所 有 可 能 的 条 件 取 值 的 组 
合 至 少 执行 一 次 。 显 然 ,满足 条 件 组 合 覆 盖 的 测试 用 例 是 一 定 满足 判定 覆盖 条 件 覆 盖 和 判 
定 -条 件 覆 盖 的 。 

@ 路 径 覆 盖 (Path Coverage) 

路 径 覆 盖 是 指 设 计 足 够 多 的 测试 用 例 ,使 程序 的 每 条 可 能 路 径 都 至 少 执行 一 次 (如 果 程 
序 图 中 有 环 , 则 要 求 每 个 环 至 少 经 过 一 次 ) 。 在 所 有 逻辑 覆盖 中 ,路径 覆盖 的 程度 最 高 。 

对 于 比较 简单 的 小 程序 来 说 ,实现 路 径 获 盖 是 可 能 的 ,但 是 如 果 程 序 中 出 现 了 多 个 判断 
和 多 个 循环 ,可 能 的 路 径 数 目 将 会 急剧 增长 ,以 致 实现 路 径 获 盖 是 几乎 不 可 能 的 。 

(2) 逻辑 覆盖 测试 法 的 运用 

例 5: 用 迎 辑 缆 盖 法 对 下 面 的 代码 (Java 语言 ) 进 行 测试 。 


public char function(int x, int y) { 
char t; 
if ((x>= 90) g& (y>= 90)) { 
t = A'S 
} else { 
if ((x + y)>= 165) { 
t= 'B'; 
} else { 
t= 'C'; 


return t; 


为 便于 分 析 程 序 结 构 和 设计 测试 用 例 , 首 先 画 出 程序 对 应 的 控制 流 图 ,如 图 1-8 所 示 。 
为 了 表达 清晰 ,代码 中 各 条 件 取 值 标记 如 下 。 


x 宇 90 Tl1, x=90 Fl; 
y 宇 90 T2, y=90 F2 ， 
x 十 y 宇 165 T3， x 十 y<<165 F3。 


根据 程序 描述 ,设计 满足 逻辑 覆盖 的 测试 用 例 , 如 表 1-13 所 示 。 
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图 1-8 控制 流 图 


表 1-13 例 5 的 测试 用 例 


覆盖 类 型 测试 数据 覆盖 条 件 执行 路 径 
x 一 60,y 一 70 F1 F2 F3 1-2-4-6-7-8-9 
语句 覆盖 x 一 83,y 一 82 Fl F2 T3 1-2-4-5-7-8-9 
x=95,y=95 TL Ty TS 1-2-3-8-9 
x=60,y=70 F1 F2 F3 1-2-4-6-7-8-9 
判定 覆盖 x 一 82,y 一 83 Fl F2 T3 1-2-4-5-7-8-9 
x=91,y=90 TBTs 1-2-3-8-9 
x=60,y=70 F1 F2 F3 1-2-4-6-7-8-9 
盖 
条 件 本 x 一 90,y 一 90 TS 1-2-3-8-9 
x 一 60,y 一 70 Fl F2 F3 1-2-4-6-7-8-9 
判定 -条 件 覆 盖 x 一 90,y 一 90 T1 T2 T3 1-2-3-8-9 
x=81,y=85 F1 F2 T3 1-2-4-5-7-8-9 
x 一 80,y 一 80 Fl F2 F3 1-2-4-6-7-8-9 
合 覆盖 
人 x=90,y=90 T1 T2 T3 1-2-3-8-9 
x=85,y=90 Fl T2 T3 1-2-4-5-7-8-9 
人 
条 件 组 合 必 站 x 一 90,y 一 60 T1 F2 F3 1-2-4-6-7-8-9 
x 一 80,y 一 80 F1 F2 F3 1-2-4-6-7-8-9 
路 径 覆 盖 x 一 90,y 一 90 T1 T2 T3 1-2-3-8-9 
x=85,y=90 Fl T2 T3 1-2-4-5-7-8-9 
4. 基 路 径 测试 
(1) 独立 路 径 


基 路 径 测试 是 在 程序 控制 流 图 的 基础 上 ,通过 分 析 控 制 构造 的 环 路 复杂 性 ,导出 基本 可 
执行 路 径 集合 ,从 而 设计 测试 用 例 的 方法 。 进 行 基 路 径 测试 需要 获得 程序 的 环 路 复杂 性 ,并 
找 出 所 有 的 独立 路 径 ( 基 本 路 径 ) 。 

程序 的 环 路 复杂 性 即 McCabe 复杂 性 度量 ,定义 为 控制 流 图 的 区 域 数 。 从 程序 的 环 路 
复杂 性 可 导出 程序 基本 路 径 集合 中 的 独立 路 径 条 数 ,这 是 确保 程序 中 每 条 可 执行 语句 至 少 
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执行 一 次 所 必须 的 最 少 测试 用 例 数 。 环 路 复杂 性 可 以 使 用 下 面 的 三 种 方法 来 计算 。 

方法 一 : 通过 控制 流 图 的 边 数 和 节点 数 计算 。 设 屯 为 控制 流 图 的 边 数 , N 为 图 的 节点 
数 , 则 定义 环 路 复杂 性 为 VCC) 一 下 一 N 十 2。 

方法 二 : 通过 控制 流 图 中 的 判定 节点 数 计算 。 若 设 P 为 控制 流 图 中 的 判定 节点 数 , 则 
有 V(G) 二 P 十 1。 需 要 注意 的 是 ,对 于 switch-case 语句 ,其 判定 节点 数 的 计算 需要 转化 。 
将 case 语句 转换 为 if-else 语句 后 再 计算 判定 节点 个 数 。 

方法 三 : 将 环 路 复杂 性 定义 为 控制 流 图 中 的 区 域 数 。 

独立 路 径 是 指 包 括 一 组 以 前 没有 处 理 的 语句 或 条 件 的 一 条 路 径 。 控 制 流 图 中 所 有 独立 
路 径 的 集合 就 构成 了 基本 路 径 集 。 只 要 设计 出 的 测试 用 例 能 够 确保 这 些 基 本 路 径 的 执行 ， 
就 可 以 使 得 程序 中 的 每 个 可 执行 语句 至 少 执行 一 次 ,每 个 条 件 的 取 真 分 支 和 取 假 分 支 也 能 
得 到 测试 。 需 要 注意 的 是 基本 路 径 集 不 是 唯一 的 ,对 于 给 定 的 控制 流 图 ,可 以 得 到 不 同 的 基 
本 路 径 集 。 

(2) 基 路 径 测试 方法 

基 路 径 测 试 方法 的 基本 步骤 如 下 。 

a 根据 详细 设计 或 者 程序 源 代码 ,绘制 出 程序 的 程序 流程 图 。 

@ 根据 程序 流程 图 ,绘制 出 程序 的 控制 流 图 。 

@ 计算 程序 环 路 复杂 性 ( 圈 复 杂 度 ) 。 

@ 找 出 基本 路 径 (独立 路 径 ) ,通过 程序 的 控制 流 图 导出 基本 路 径 集 。 

@ 设计 测试 用 例 。 根 据 程 序 结构 和 程序 环 路 复杂 性 设计 用 例 输 入 数据 和 预期 结果 , 确 
保 基本 路 径 集 中 的 每 一 条 路 径 的 执行 。 

(3) 基 路 径 测 试 法 的 运用 

例 6: 下 面 的 程序 代码 (Java 语言 ) 的 功能 是 将 一 个 正 整数 分 解 质 因 数 。 例 如 : 输入 
90, 打 印 出 90 一 2x* 3x3x5。 


public static void zhiyinshu( intn ) { 


int k=2; 
System. out .print(n + "=" ); // 输 出 : n= 
while(k <= n) { 
if(k == n) { 
System. out. println(n); // 输出 : n; 
break; 
} 
else { 


if(n% k== 0){ 
System. out .print(k + "x*");  // 输 出 : kx* 
n=n/k; 
} 
else { 
k++; 


] 


第 1 章 ”软件 测试 基础 


下 面 使 用 基 路 径 法 设计 测试 用 例 , 对 上 面 的 代码 进行 测试 。 人 

@ 根据 程序 代码 画 出 对 应 的 控制 流 图 ,如 图 1-9 所 示 。 

@ 通过 公式 : V(G) 一 E 一 N 十 2 来 计算 控制 流 图 的 环 路 @O) 
复杂 性 ( 圈 复 杂 度 )。E 是 流 图 中 边 的 数量 ,在 本 例 中 下 一 11; 
NN 是 流 图 中 节点 的 数量 ,在 本 例 中 , N 二 9, 则 V(G) 二 11 一 9 十 G) 
2 一 4。 也 可 以 使 用 公式 V(G) 二 判定 节点 数 十 1 计算 , 则 (9 @) 
V(G) =3 十 1 一 4。 (5) 
@ 独立 路 径 必 须 包含 一 条 的 定义 之 前 不 曾 用 到 的 边 。 根 

@ © 
(8 


据 上 面 计算 的 圈 复 杂 度 ,可 得 出 4 个 独立 的 路 径 。 

路 径 1: 1-2-9; 

路 径 2: 1-2-3-4-9; 

路 径 3: 1-2-3-5-6-8-2-3-4-9; 

路 径 4: 1-2-3-5-7-8-2-3-4-9。 

@ 导出 测试 用 例 

为 了 确保 基本 路 径 集 中 的 每 一 条 路 径 都 执行 ,根据 判断 节点 给 出 的 条 件 , 选 择 适 当 的 数 
据 以 保证 某 一 条 路 径 可 以 被 测试 到 ,满足 上 面 基本 路 径 集 的 测试 用 例如 表 1-14 所 示 。 


图 1-9 控制 流 图 


表 1-14 测试 用 例 
用 例 编号 输入 数据 预期 输出 执行 路 径 
1 n 一 1 1 一 路 径 1: 1-2-9 
n 一 2 2 一 2 路 径 2: 1-2-3-4-9 
3 n=4 4 一 2x 2 路 径 3: 1-2-3-5-6-8-2-3-4-9 
4 n 一 3 3=3 路 径 4: 1-2-3-5-7-8-2-3-4-9 


5. 数据 流 测 试 


数据 流 测试 (Data Flow Testing) 是 基于 程序 的 控制 流 , 从 建立 的 数据 目标 状态 的 序列 
中 发 现 异 常 的 结构 测试 方法 。 数 据 流 测 试 使 用 程序 中 的 数据 流 关系 来 指导 测试 者 选取 测试 
用 例 。 其 基本 思想 是 : 一 个 变量 的 定义 ,通过 轧 转 的 引用 和 定义 ,可 以 影响 到 另 一 个 变量 的 
值 ,或 者 影响 到 路 径 的 选择 等 。 进 行 数据 流 测试 时 ,根据 被 测试 程序 中 变量 的 定义 和 引用 位 
置 选择 测试 路 径 。 因 此 ,可 以 选择 一 定 的 测试 数据 ,使 程序 按照 一 定 的 变量 的 定义 -引用 路 
径 执行 ,并 检查 执行 结果 是 否 与 预期 相符 ,从 而 发 现代 码 的 错误 。 


6. 程序 插 装 


程序 插 装 (Program Instrumentation) 概 念 由 J.G. Huang 教授 首次 提出 , 它 使 被 测试 程 
序 在 保持 原 有 逻辑 完整 性 基础 上 ,在 程序 中 插入 一 些 探 针 (又 称 为 “探测 仪 ”) ,通过 控 针 的 执 
行 抛 出 程序 的 运行 特征 数据 。 基 于 这 些 特 征 数据 分 析 , 可 以 获得 程序 的 控制 流 及 数据 流 信 
息 ,进而 得 到 逻辑 覆盖 等 动态 信息 。 


7. 域 测试 
域 测试 (Domain Testing) 是 一 种 基于 程序 结构 的 测试 方法 。Howden 曾 对 程序 中 出 
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现 的 错误 进行 分 类 ,他 将 程序 错误 分 为 域 错 误 .计算 型 错误 和 丢失 路 径 错 误 三 种 。 这 是 
相对 于 执行 程序 的 路 径 来 说 的 。 每 条 执行 路 径 对 应 于 输入 域 的 一 类 情况 ,是 程序 的 一 个 
子 计算 。 如 果 程 序 的 控制 流 有 错误 ,对 于 某 一 特定 的 输入 可 能 执行 的 是 一 条 错误 路 径 ， 
这 种 错误 称 为 路 径 错误 ,也 叫做 域 错误 。 如果 对 于 特定 输入 执行 的 是 正确 路 径 , 但 由 于 
赋值 语句 的 错误 致使 输出 结果 不 正确 , 则 称 此 为 计算 型 错误 。 另 一 类 错误 是 丢失 路 径 错 
误 , 这 是 由 于 程序 中 某 处 少 了 一 个 判定 谓词 而 引起 的 。 域 测试 是 主要 针对 域 错误 进行 的 
程序 测试 。 

域 测 试 的 “ 域 ? 是 指 程序 的 输入 空间 。 域 测试 方法 基于 对 输入 空间 的 分 析 。 自 然 , 任 
何 一 个 被 测 程序 都 有 一 个 输入 空间 。 测 试 的 理想 结果 就 是 检验 输入 空间 中 的 每 一 个 输 
入 元 素 是 否 都 产生 正确 的 结果 。 而 输入 空间 又 可 分 为 不 同 的 子 空间 ,每 一 子 空间 对 应 一 
种 不 同 的 计算 。 在 考察 被 测试 程序 的 结构 以 后 ,我 们 就 会 发 现 , 子 空 间 的 划分 是 由 程序 
中 分 支 语句 中 的 谓词 决定 的 。 输 入 空间 的 一 个 元 素 , 经 过 程序 中 某 些 特定 语句 的 执行 而 
结束 (当然 也 可 能 出 现 无 限 循环 而 无 出 口 ) , 那 都 是 满足 了 这 些 特定 语句 被 执行 所 要 求 的 
条 件 的 。 

域 测试 有 两 个 致命 的 弱点 ,一 是 为 进行 域 测试 对 程序 提出 的 限制 过 多 ,二 是 当 程序 存在 
很 多 路 径 时 ,所 需 的 测试 点 也 很 多 。 


人 .4 软件 测试 流程 


软件 测试 不 等 于 程序 测试 ,软件 测试 贯穿 于 软件 开发 整个 生命 周期 。 软 件 测试 流程 主 
要 包括 测试 准备 、 测 试 计划 、 测 试用 例 设计 测试 执行 ,测试 结果 分 析 。 


1. 测试 准备 阶段 


测试 准备 阶段 需要 组 建 测试 小 组 ,参加 有 关 项 目 计划 ,分析 和 设计 会 议 , 获 取 必要 的 需 
求 分 析 、 系 统 设计 文档 ,以 及 相关 产品 /技术 知识 的 培训 。 


2. 测试 计划 阶段 


测试 计划 阶段 的 主要 工作 是 确定 测试 内 容 或 质量 特性 ,确定 测试 的 充分 性 要 求 ,制定 测 
试 策略 和 方法 ,对 可 能 出 现 的 问题 和 风险 进行 分 析 和 估计 ,制定 测试 资源 计划 和 测试 进度 计 
划 以 指导 测试 的 执行 。 


3. 测试 设计 阶段 


软件 测试 设计 建立 在 测试 计划 之 上 ,通过 设计 测试 用 例 来 完成 测试 内 容 , 以 实现 所 确定 
的 测试 目标 。 软 件 测试 设计 的 主要 内 容 如 下 。 

(1) 制定 测试 技术 方案 ,分 析 测试 技术 方案 是 否 可 行 . 是 否 有 效 . 是 否 能 达到 预定 的 测 
试 目标 。 

(2) 设计 测试 用 例 ,获取 并 验证 测试 数据 ; 根据 测试 资源 、 风 险 等 约束 条 件 ,确定 测试 
用 例 执行 顺序 ; 分 析 测 试用 例 是 否 完整 .是 否 考虑 边界 条 件 、 能 否 达到 其 覆盖 率 要 求 。 

(3) 测试 开发 ,获取 测试 资源 ,开发 测试 软件 (包括 驱动 模块 、 桩 模块 .录制 和 开发 自动 
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化 测试 脚本 等 ) 。 
(4) 设计 测试 环境 ,建立 并 校准 测试 环境 ,分 析 测 试 环境 是 否 和 用 户 的 实际 使 用 环境 
(5) 进行 测试 就 绪 审查 ,主要 审查 测试 计划 的 合理 性 和 测试 用 例 的 正确 性 有 效 性 和 覆 
盖 充 分 性 ,审查 测试 组 织 、 环 境 和 设备 工具 是 否 齐备 并 符合 要 求 。 在 进入 下 一 阶段 工作 之 
前 ,应 通过 测试 就 绪 评 审 。 


4. 测试 执行 阶段 


建立 和 设置 好 相关 的 测试 环境 ,准备 好 测试 数据 ,执行 测试 用 例 , 获 取 测 试 结果 。 分 析 
并 判定 测试 结果 ,根据 不 同 的 判定 结果 采取 相应 的 措施 。 对 测试 过 程 的 正常 或 异常 终止 情 
况 进行 核对 。 根 据 核 对 结果 ,对 未 达到 测试 终止 条 件 的 测试 用 例 , 决 定 是 停止 测试 还 是 需要 
修改 或 补充 测试 用 例 集 ,并 进一步 测试 。 


5. 测试 结果 分 析 


测试 结束 后 ,评估 测试 效果 和 被 测 软件 项 ,描述 测试 状态 。 对 测试 结果 进行 分 析 , 以 确 
定 软件 产品 的 质量 ,为 产品 的 改进 或 发 布 提供 数据 和 支持 。 在 管理 上 ,应 做 好 测试 结果 的 审 
查 和 分 析 ,做 好 测试 报告 的 撰写 和 审查 工作 。 


(5 软件 自动 化 测试 


1.5.1 软件 自动 化 测试 定义 


软件 自动 化 测试 就 是 使 用 自动 化 测试 工具 来 代替 手工 进行 一 系列 测试 动作 ,以 验证 软 
件 是 否 满足 需求 ,包括 测试 活动 的 管理 与 实施 。 自 动 化 测试 主要 是 通过 所 开发 的 软件 测试 
工具 、 和 脚本 等 来 实现 ,其 目的 是 减轻 手工 测试 的 工作 量 ,以 达到 节约 资源 (包括 人 力 、 物 力 
等 ) ,保证 软件 质量 ,缩短 测试 周期 .提高 测试 效率 的 目的 。 

自动 化 测试 以 其 高 效率 、 重 用 性 和 一 致 性 成 为 软件 测试 的 一 个 主流 。 正 确实 施 软 件 自 
动 化 测试 并 严格 遵守 测试 计划 和 测试 流程 ,可 以 达到 比 手工 测试 更 有 效 、 更 经 济 的 效果 。 相 
比 手工 测试 ,自动 化 测试 具有 如 下 优点 。 

(1) 程序 的 回归 测试 更 方便 ; 

(2) 可 以 运行 更 多 更 烦琐 的 测试 ; 

(3) 执行 手工 测试 很 难 或 不 可 能 进行 的 测试 ; 

(4) 充分 利用 资源 ; 

(5) 测试 具有 一 致 性 和 可 重复 性 ; 

(6) 让 产品 更 快 面向 市 场 ; 

(7) 增加 软件 信任 度 。 

当然 ,自动 化 测试 也 并 非 万 能 .人 们 对 自动 化 测试 的 理解 也 存在 许多 误区 ,认为 自动 化 
测试 能 完成 一 切 工作 ,从 测试 计划 到 测试 执行 ,都 不 需要 人 工 干 预 。 其 实 自动 化 测试 所 完成 
的 测试 功能 也 是 有 限 的 。 自 动 化 测试 存在 下 列 局 限 性 。 
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(1) 不 能 完全 取代 手工 测试 ; 

(2) 不 能 期 望 自动 化 测试 发 现 大 量 新 缺陷 ; 

(3) 软件 自动 化 测试 可 能 会 制约 软件 开发 ; 

(4) 软件 自动 化 测试 本 身 没 有 想象 力 ; 

(5) 自动 化 测试 实施 的 难度 较 大 ; 

(6) 测试 工具 与 其 他 软件 的 互 操 作 性 问题 。 

综 上 所 述 ,软件 自动 化 测试 的 优点 和 收益 是 显而易见 的 ,但 同时 它 也 并 非 万 能 ,只 有 对 
其 进行 合理 的 设计 和 正确 的 实施 才能 从 中 获 益 。 


1.5.2 软件 测试 工具 
1. 白 盒 测 试 工具 


白 盒 测试 工具 一 般 是 针对 代码 进行 的 测试 ,测试 所 发 现 的 缺陷 可 以 定位 到 代码 级 。 由 
于 白 盒 测试 通常 用 在 单元 测试 中 ,因此 又 叫 单元 测试 工具 。 根 据 测 试 工具 工作 原理 的 不 同 ， 
白 盒 测试 工具 可 分 为 静态 测试 工具 和 动态 测试 工具 。 

静态 测试 工具 是 在 不 执行 程序 的 情况 下 ,分 析 软 件 的 特性 。 静 态 测试 工具 一 般 是 对 代 
码 进行 语法 扫描 , 找 出 不 符合 编码 规范 的 地 方 ,根据 某 种 质量 模型 评价 代码 的 质量 ,生成 系 
统 的 调用 关系 图 等 。 

动态 测试 工具 与 静态 测试 工具 不 同 ,动态 测试 工具 一 般 采 用 ”* 搬 桩 ?的 方式 ,向 代码 生成 
的 可 执行 文件 中 插入 一 些 监测 代码 ,用 来 统计 程序 运行 时 的 数据 。 其 与 静态 测试 工具 最 大 
的 不 同 就 是 动态 测试 工具 要 求 被 测 系统 实际 运行 。 

常用 的 白 盒 测试 工具 有 Parasoft 公司 的 Jtest、C++ Test、. test、CodeWizard 等 ， 
Compuware 公司 的 DevPartner、BoundsChecker、TrueTime 等 , IBM 公司 的 Rational 
PurifyPlus、PureCoverage 等 ,Telelogic 公司 的 Logiscope, 开 源 测试 工具 JUnit 等 。 


2. 黑 盒 测试 工具 


黑 盒 测 试 工具 是 在 明确 软件 产品 应 具有 的 功能 的 条 件 下 ,完全 不 考虑 被 测 程序 的 内 部 
结构 和 内 部 特性 ,通过 测试 来 检验 软件 功能 是 否 按照 软件 需求 规格 的 说 明正 常 工作 。 

黑 盒 测 试 工具 的 一 般 原理 是 利用 脚本 的 录制 /回放 ,模拟 用 户 的 操作 ,然后 将 被 测 系统 
的 输出 记录 下 来 同 预先 给 定 的 预期 结果 进行 比较 。 黑 盒 测试 工具 可 以 大 大 减轻 黑 盒 测 试 的 
工作 量 ,在 迭代 开发 的 过 程 中 ,能够 很 好 地 进行 回归 测试 。 

按照 完成 的 职能 不 同 , 黑 盒 测试 工具 可 以 进一步 分 为 以 下 几 种 。 

(1) 功能 测试 工具 : 用 于 检测 程序 能 否 达到 预期 的 功能 要 求 并 正常 运行 。 

通过 自动 录制 检测 和 回放 用 户 的 应 用 操作 ,将 被 测 系统 的 输出 同 预先 给 定 的 标准 结果 
进行 比较 以 判断 系统 功能 是 否 正确 实现 。 功 能 测试 工具 能 够 有 效 地 帮助 测试 人 员 对 复杂 的 
系统 功能 进行 测试 ,提高 测试 人 员 的 工作 效率 和 质量 。 其 主要 目的 是 检测 应 用 程序 是 否 能 
够 达到 预期 的 功能 并 正常 运行 。 

常用 的 功能 测试 工具 有 HP 公司 的 WinRunner 和 QuickTest Professional( 高 版 本 为 
UFT, 即 Unified Functional Testing) ,IBM 公司 的 Rational Robot,Segue 公司 的 SilkTest， 
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Compuware 公司 的 QA Run 等 。 

(2) 性 能 测试 工具 : 用 于 测试 和 分 析 软 件 系 统 的 性 能 。 

通常 指 用 来 支持 压力 、 负 载 测 试 ,能 够 录制 和 生成 脚本 .设置 和 部 署 场景 .产生 并 发 用 户 
和 向 系统 施加 持续 压力 的 工具 。 性 能 测试 工具 通过 实时 性 能 监测 来 确认 和 查找 问题 ,并 针 
对 所 发 现 问 题 对 系统 性 能 进行 优化 ,确保 应 用 的 成 功 部 署 。 性 能 测试 工具 能 够 对 整个 企业 
架构 进行 测试 ,通过 这 些 测试 企业 能 最 大 限度 地 缩短 测试 时 间 ,优化 性 能 和 加 速 应 用 系统 的 
发 布 周期 。 

常用 的 性 能 测试 工具 有 HP 公司 的 LoadRunner, Microsoft 公司 的 Web Application 
Stress(WAS) ,Compuware 公司 的 QALoad, RadView 公司 的 WebLoad, Borland 公司 的 
SilkPerformer,Apache 的 Jmeter 等 。 

(3) 安全 测试 工具 : 用 于 发 现 软件 的 安全 漏洞 ,进行 安全 评估 。 

常用 的 安全 测试 工具 有 HP 公司 的 WebInspect,IBM 公司 的 Rational@ AppScan， 
Google 公司 的 Skipfish,Acunetix 公司 的 Acunetix Web Vunlnerability Scanner 等 ,以 及 一 
些 免 费 或 开源 的 安全 测试 工具 ,如 Nikto、WebScarab、Websecurify、 Firebug、 Netsparker、 
Wapiti 等 。 


3. 测试 管理 工具 


一 般 而 言 , 测 试管 理工 具 对 测试 需求 ,测试 计划 ,测试 用 例 、 测 试 实施 进行 管理 ,有 些 测 
试管 理工 具 还 包括 对 缺陷 的 跟踪 管理 。 测 试管 理工 具 能 让 测试 人 员 、 开 发 人 员 或 其 他 的 IT 
人 员 通 过 一 个 中 央 数 据 仓库 ,在 不 同 地 方 交 互信 息 。 

一 般 情 况 ,测试 管理 工具 应 包括 以 下 内 容 。 

(1) 测试 用 例 管理 ， 

(2) 缺陷 跟踪 管理 (问题 跟踪 管理 ); 

(3) 配置 管理 。 

常用 的 测试 管理 工具 有 IBM 公司 TestManager、ClearQuest, HP 公司 的 Quality 
Center 和 TestDirector,Compureware 公司 的 TrackRecord, Atlassian 公司 的 JIRA, 开 源 的 
Bugzilla TestLink、Mantis、`BugFree 等 。 


4. 专用 测试 工具 


除了 上 述 的 自动 化 测试 工具 外 ,还 有 一 些 专用 的 自动 化 测试 工具 ,例如 ,针对 数据 库 测 
试 的 TestBytes、 数 据 生成 器 DataFactory、 对 Web 系统 中 的 链接 进行 测试 的 工具 Xenu 
Link Sleuth 等 。 


人 .6 软件 测试 文档 
1. 测试 计划 


测试 计划 (Test Plan) 是 描述 要 进行 的 测试 活动 的 目的 范围. 方法 、 资 源 和 进度 的 文 
档 。《ANSI/IEEE 软件 测试 文档 标准 829-1983) 将 测试 计划 定义 为 :“ 一 个 描述 了 预定 的 测 


33 


SG 


34 


SA 


Web 应 用 程序 测试 


试 活 动 的 范围 .途径 资源 及 进度 安排 的 文档 。 它 确认 了 测试 项 .被 测 特征 、 测 试 任务 .人 员 
安排 ,以 及 任何 偶发 事件 的 风险 。” 

测试 计划 是 指导 测试 过 程 的 纲领 性 文件 ,包含 产品 概述 、 测 试 策略 、 测 试 方法 、 测 试 区 
域 , 测 试 配置 ,测试 周期 ,测试 资源 ,测试 交流 ,风险 分 析 等 内 容 。 借 助 软件 测试 计划 ,参与 测 
试 的 项 目 成 员 可 以 明确 测试 任务 和 测试 方法 ,保持 测试 实施 过 程 的 顺畅 沟通 ,跟踪 和 控制 测 
试 进度 ,应 对 测试 过 程 中 的 各 种 变更 。 

编写 测试 计划 的 6 要 素 如 下 。 

(1) why: 为 什么 要 进行 测试 ; 

(2) what: 测试 哪些 方面 .不同 阶段 的 工作 内 容 是 什么 ; 

(3) when: 测试 不 同 阶段 的 起 止 时 间 ; 

(4) where: 相应 文档 ,缺陷 的 存放 位 置 测试 环境 等 ; 

(5) who: 项 目 有 关 人 员 组 成 ,安排 哪些 测试 人 员 进 行 测试 ; 

(6) how: 如 何 去 做 ,使 用 哪些 测试 工具 以 及 测试 方法 进行 测试 。 

测试 计划 中 一 般 包括 以 下 关键 内 容 。 

(1) 测试 需求 : 明确 测试 的 范围 ,估算 出 测试 所 花费 的 人 力 资源 和 各 个 测试 需求 的 测 
试 优先 级 ; 

(2) 测试 方案 : 整体 测试 的 测试 方法 和 每 个 测试 需求 的 测试 方法 ; 

(3) 测试 资源 : 测试 所 需要 用 到 的 人 力 ,硬件 ,软件 ,技术 资源 ; 

(4) 测试 组 角色 : 明确 测试 组 内 各 个 成 员 的 角色 和 相关 责任 ; 

(5) 测试 进度 : 规划 测试 活动 和 测试 时 间 ; 

(6) 可 交付 工件 : 在 测试 组 的 工作 中 必须 向 项 目 组 提交 的 产物 ,包括 测试 计划 测试 报 
告 等 ; 

(7) 风险 管理 : 分 析 测试 工作 所 可 能 出 现 的 风险 。 

测试 计划 编写 完毕 后 ,必须 提交 给 项 目 组 全 体 成 员 , 并 由 项 目 组 中 各 个 角色 组 联合 
评审 。 


2. 测试 用 例 


每 个 测试 用 例 都 将 包括 下 列 信息 。 

(1) 名 称 和 标识 : 每 个 测试 用 例 应 有 唯一 的 名 称 和 标识 。 

(2) 用 例 说 明 : 简要 描述 测试 的 对 象 . 目 的 和 所 采用 的 测试 方法 。 

(3) 测试 的 初始 化 要 求 : 应 考虑 硬件 配置 软件 配置 、 测 试 配置 ,参数 设置 的 初始 化 要 
求 ,以 及 其 他 对 于 测试 用 例 的 特殊 说 明 。 

(4) 测试 的 输入 : 在 测试 用 例 执行 中 发 送 给 被 测 对 象 的 所 有 测试 命令 数据 和 信号 等 。 
对 于 每 个 测试 用 例 应 提供 如 下 内 容 。 

Q 每 个 测试 输入 的 具体 内 容 ( 如 确定 的 数值 ,状态 或 信号 等 ) 及 其 性 质 ( 如 有 效 值 .无效 
值 .边界 值 等 ); 

@ 测试 输入 的 来 源 ( 例 如 ,测试 程序 产生 、 磁 盘 文 件 .通过 网 络 接收 .人 工 键盘 输入 等 ) , 
以 及 选择 输入 所 使 用 的 方法 ; 
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@ 测试 输入 是 真实 的 还 是 模拟 的 ; 

@ 测试 输入 的 时 间 顺 序 或 事件 顺序 。 

(5) 期 望 测试 结果 : 说 明 测试 用 例 执 行 中 由 被 测 软 件 所 产生 的 期 望 测试 结果 , 即 经 过 
验证 ,认为 正确 的 结果 。 必 要 时 ,应 提供 中 间 的 期 望 结果 。 期 望 测试 结果 应 该 有 具体 内 容 ， 
如 确定 的 数值 ,状态 或 信号 等 ,不 应 是 不 确切 的 概念 或 笼统 的 描述 。 

(6) 操作 过 程 : 实施 测试 用 例 的 执行 步骤 。 把 测试 的 操作 过 程 定义 为 一 系列 按照 执行 
顺序 排列 的 相对 独立 的 步骤 ,对 于 每 个 操作 应 提供 如 下 内 容 。 

@ 每 一 步 所 需 的 测试 操作 动作 、 测 试 程序 的 输入 ,设备 操作 等 

@ 每 一 步 期 望 的 测试 结果 ; 

@ 每 一 步 的 评估 标准 ; 

@ 程序 终止 伴随 的 动作 或 错误 指示 ; 

@@ 获取 和 分 析 实 际 测试 结果 的 过 程 。 

(7) 前 提 和 约束 : 在 测试 用 例 说 明 中 施加 的 所 有 前 提 条 件 和 约束 条 件 ,如 果 有 特别 限 
制 ,参数 偏差 或 异常 处 理 ,应 该 标识 出 来 ,并 说 明 它们 对 测试 用 例 的 影响 。 

(8) 测试 终止 条 件 : 说 明 测 试 正常 终止 和 异常 终止 的 条 件 。 


3. 测试 报告 


测试 报告 是 组 成 测试 后 期 工作 文档 的 最 重要 的 技术 文档 。 测 试 报告 必须 包含 以 下 重要 
内 容 。 
(1) 测试 概述 : 简 述 测试 的 一 些 声明 测试 范围 ,测试 目的 、 测 试 方法 ,测试 资 源 等 ; 
(2) 测试 内 容 和 执行 情况 : 描述 测试 内 容 和 测试 执行 情况 ; 
(3) 测试 结果 摘要 : 分 别 描述 各 个 测试 需求 的 测试 结果 ,产品 实现 了 哪些 功能 点 ,哪些 
还 没有 实现 ; 

(4) 缺陷 统计 与 分 析 : 按照 缺陷 的 属性 分 类 进行 统计 和 分 析 ; 

(5) 测试 覆盖 率 : 覆盖 率 是 度量 测试 完整 性 的 一 个 手段 ,是 测试 有 效 性 的 一 个 度量 。 
测试 报告 中 需要 分 析 代 码 柳 盖 情 况 和 功能 覆盖 情况 ; 

(6) 测试 评估 : 从 总 体 对 项 目 质量 进行 评估 ; 

(7) 测试 建议 : 从 测试 组 的 角度 为 项 目 组 提出 工作 建议 。 

在 软件 测试 过 程 中 需要 加 强 过 程 管理 和 缺陷 管理 ,并 提交 高 质量 的 测试 文档 。 软 件 测 
试 相 关 的 文档 模板 请 参见 附录 B。 


(3 本 章 小 结 


本 章 介绍 了 软件 测试 的 定义 、 软 件 测试 的 原则 和 软件 测试 的 分 类 。 软 件 测试 是 软件 质 
量 保 证 的 重要 手段 之 一 , 它 贯穿 于 软件 开发 整个 过 程 中 ,为 软件 开发 过 程 服务 。 

软件 缺陷 是 软件 产品 在 开发 和 维护 过 程 中 存在 的 错误 、 缺 点 等 问题 ,是 影响 软件 质量 的 
重要 因素 之 一 。 发 现 并 排除 缺陷 是 软件 测试 人 员 的 一 项 重要 工作 。 

为 保证 软件 测试 的 效率 和 质量 ,避免 测试 的 随意 性 和 盲目 性 ,测试 前 需要 预先 设计 测试 
用 例 。 常 用 的 测试 用 例 设计 技术 有 黑 盒 测试 技术 和 白 盒 测试 技术 。 黑 盒 测 试 方法 有 等 价 类 
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划分 .边界 值 分 析 、 基 于 判定 表 的 测试 .因果 图 法 、 正 交 试验 法 、 场 景 法 .错误 猜测 法 等 。 白 盒 
测试 方法 有 逻辑 覆盖 、 基 路 径 测 试 ,数据 流 测试 .程序 插 装 ` 域 测试 等 。 

为 提高 软件 测试 效率 ,可 以 使 用 自动 化 测试 工具 来 代替 手工 进行 一 系列 测试 活动 。 正 
确实 施 软件 自动 化 测试 并 严格 遵守 测试 计划 和 测试 流程 ,可 以 达到 比 手工 测试 更 有 效 、 更 经 
济 的 效果 。 


Web 应 用 技术 | 


随 着 Web 技术 的 迅猛 发 展 , Web 正 以 其 广泛 性 .交互 性 和 易 用 性 等 特点 迅速 风靡 全 
球 ,并 且 已 经 渗入 到 社会 的 各 个 应 用 领域 。Web 应 用 系统 涉及 的 领域 越 来 越 广 , Web 系统 
的 复杂 性 也 变 得 越 来 越 高 。 作 为 保证 软件 质量 和 可 靠 性 的 重要 手段 , Web 应 用 软件 测试 已 
成 为 Web 开发 过 程 中 的 一 个 重要 环节 ,得 到 人 们 越 来 越 多 的 重视 ,并 取得 了 一 定 的 研究 成 
果 。 但 Web 应 用 软件 的 异 构 、 分 布 、 并 发 和 平台 无 关 等 特性 ,使 得 对 Web 应 用 软件 的 测试 
要 比 对 传统 程序 的 测试 更 困难 ,从 而 给 测试 人 员 提 出 了 新 的 挑战 。 


C4 Web 应 用 系统 


2.1.1 Web 定义 


Web 是 WWW(World Wide Web) 的 简称 ,又 称 为 “万 维 网 ”。Web 是 建立 在 客户 机 / 服 
务 器 (Client/Server) 模 型 之 上 ,以 HTML 语言 和 HTTP 协议 为 基础 ,提供 面向 各 种 
Internet 服务 的 一致 的 用 户 界 面 的 一 种 信息 服务 系统 。 

Web 是 一 个 庞大 的 ,实用 的 、 可 共享 的 信息 库 。Web 上 大 量 的 信息 是 由 彼此 关联 的 文 
档 组 成 的 , 这些 文档 被 称 为 主页 (Home Page) 或 页 面 (Page)。 用 户 可 以 通过 浏览 器 
(Browser) 方 便 地 浏览 Web 服务 器 上 的 内 容 , 包 括 文本 文件 .图 形 文件 .音频 文件 和 视频 文 
件 等 信息 。 

Web 在 提供 信息 服务 之 前 ,所 有 信息 都 必须 以 文件 方式 事先 存放 在 Web 服务 器 所 管 
辖 的 磁盘 中 的 某 个 文件 夹 下 ,其 中 包括 由 超 文本 标记 语言 HTML 组 成 的 文本 文件 。 这 些 
文本 文件 称 为 超 链接 文件 ,又 称 为 网 页 文件 或 Web 页 面 文件 (Web Page) 。 

当 用 户 通过 浏览 器 在 地 址 栏 输入 访问 网 站 的 网 址 时 ,实际 上 就 是 向 某 个 Web 服务 器 发 
出 调用 某 个 页 面 的 请 求 。Web 服务 器 收 到 页 面 调用 请 求 后 .从 磁盘 中 调 出 该 网 页 进行 相关 
处 理 后 , 传 回 给 浏览 器 显示 。 在 这 里 ,Web 服务 器 作为 一 个 软件 系统 ,用 于 管理 Web 页 面 ， 
并 使 这 些 页 面 通过 本 地 网 络 或 Internet 供 客户 浏览 器 使 用 。 


2.1.2 Web 应 用 体系 结构 


Web 的 基本 结构 采用 开放 式 的 客户 机 /服务 器 结构 , 即 C/S 模式 。 由 于 这 里 的 客户 端 
户 的 浏览 器 ,所 以 更 准确 的 描述 应 该 是 浏览 器 /服务 器 模式 , 即 B/S(Browser/Server) 


好 


38 


SA 


Web 应 用 程序 测试 


模式 。 整 个 Web 结构 体系 结构 可 以 分 成 服务 器 端 ,客户 接收 端 (浏览 器 ) 以 及 传输 规程 三 个 
部 分 。 

一 个 典型 的 Web 应 用 通常 是 三 层 架 构 模 型 ,如 图 2-1 所 示 。 在 这 种 最 常见 的 模型 中 ， 
客户 端 是 第 一 层 ; 使 用 动态 Web 内 容 技术 的 部 分 属于 中 间 层 ; 数据 库 是 第 三 层 。 


客户 层 
(Browser) 中 间 层 数据 层 


图 2-1 Web 体系 结构 示意 图 


(1) 客户 端 : 包含 用 户 操作 的 浏览 器 和 运行 平台 。 最 常见 的 就 是 Windows 平台 十 IE 
浏览 器 。 

(2) Web 服务 器 : 用 于 发 布 Web 页 面 ,接受 来 自 客户 端的 请 求 , 并 把 请 求 处 理 结果 返 
回 给 客户 端 。 常 见 的 Web 服务 器 有 Apache、Microsoft IIS、Tomcat 等 。 

(3) 应 用 服务 器 : 通过 各 种 协议 ,把 商业 逻辑 暴露 给 客户 端 应 用 程序 。 

(4) 数据 库 服务 器 : 现在 大 多 数 Web 系统 都 包含 数据 库 。 数 据 库 多 为 关系 型 数据 库 ， 
常见 的 有 Oracle、SQL Server、.MySQL .Sybase .DB2 Informix 等 。 

(5) 防火 墙 : 系统 安全 性 的 一 个 保障 系统 。 对 于 重要 的 系统 ,防火 墙 是 必 不 可 少 的 。 


2.1.3 ”Web 服务 器 


1. Web 服务 器 


Web 服务 器 (Web Server) 又 称 WWW 服务 器 、 网 站 服务 器 .站 点 服务 器 ,就 是 将 本 地 的 
信息 用 超 文 本 组 织 ,为 客户 端 提 供 动态 的 ,交互 的 超 文本 服务 。 从 本 质 上 来 说 Web 服务 器 
就 是 一 个 软件 系统 。 一 台 计 算 机 可 以 部 署 多 个 Web 服务 器 ,但 为 了 提高 用 户 的 访问 效率 ， 
一 般 情况 下 一 台 计 算 机 只 充当 一 个 Web 服务 器 。 如 果 有 大 量 用 户 访问 ,多 台 计算 机 可 以 形 
成 集群 ,只 提供 一 个 Web 服务 。 

Web 服务 器 可 以 解析 HTTP 协议 。 当 Web 服务 器 接收 到 一 个 HTTP 请 求 ,会 返回 一 
个 HTTP 响应 。 为 了 处 理 一 个 请 求 , Web 服务 器 可 以 响应 一 个 静态 页 面 或 图 片 ,进行 页 面 
跳 转 ,或 者 把 动态 响应 委托 给 一 些 其 他 的 程序 ,例如 CGI 脚本 、JSP 脚本 、servlets、ASP 脚本 
等 ,或 者 一 些 其 他 的 服务 器 端 技术 。 无 论 它们 的 目的 如 何 , 这 些 服 务 器 端的 程序 通常 产生 一 
个 HTML 的 响应 到 客户 端 浏 览 器 。 

Web 服务 器 的 代理 模型 非常 简单 。 当 一 个 请 求 被 送 到 Web 服务 器 里 时 , 它 只 单纯 地 
把 请 求 传递 给 处 理 请 求 的 程序 (服务 器 端 脚本 )。Web 服务 器 仅仅 提供 一 个 可 以 执行 服务 
器 端 程序 和 返回 响应 的 环境 ,而 不 会 超出 职能 范围 。 服 务 器 端 程序 通常 具有 事务 处 理 .数据 
库 连 接 和 消息 等 功能 。 
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服务 器 是 一 种 被 动 程序 ,只 有 当 Internet 上 运行 在 其 他 计算 机 中 的 浏览 器 发 出 请 求 时 ， 
服务 器 才 会 响应 。 当 Web 浏览 器 连 到 服务 器 上 并 请 求 文件 时 ,服务 器 将 处 理 该 请 求 并 将 文 
件 反馈 到 该 浏览 器 上 ,附带 的 信息 会 告诉 浏览 器 如 何 查看 该 文件 ( 即 文件 类 型 )。Web 服务 
器 不 仅 能 够 存储 信息 ,还 能 在 用 户 通过 Web 浏览 器 提供 的 信息 的 基础 上 运行 脚本 和 程序 。 


2. 应 用 服务 器 


应 用 程序 服务 器 (Application Server) 简 称 为 应 用 服务 器 , 它 通过 各 种 协议 ,把 商业 逻辑 
暴露 给 客户 端 应 用 程序 。Web 服务 器 主要 是 处 理 向 浏览 器 发 送 HTML 以 供 浏览 ,而 应 用 
程序 服务 器 提供 访问 商业 逻辑 的 途径 以 供 客户 端 应 用 程序 使 用 。 应 用 程序 使 用 商业 逻辑 就 
像 调用 对 象 的 一 个 方法 (或 函数 ) 一 样 。 

应 用 程序 服务 器 的 客户 端 可 能 会 运行 在 一 台 PC 、 一 个 Web 服务 器 甚至 是 其 他 的 应 用 
程序 服务 器 上 。 在 应 用 程序 服务 器 与 其 客户 端 之 间 来 回 穿梭 的 信息 就 是 程序 逻辑 。 这 种 逻 
辑 取 得 了 数据 和 方法 调用 的 形式 而 不 是 静态 HTML ,所 以 客户 端 才 可 以 随心 所 和 欲 地 使 用 这 
种 被 暴露 的 商业 逻辑 。 

在 大 多 数 情形 下 ,应 用 程序 服务 器 是 通过 组 件 的 应 用 程序 接口 把 商业 逻辑 暴露 给 客户 
端 应 用 程序 ,例如 基于 J2EE(Java2 Platform, Enterprise Edition ) 应 用 程序 服务 器 的 EJB 
(Enterprise Java Bean) 组 件 模型 。 此 外 ,应 用 程序 服务 器 可 以 管理 自己 的 资源 ,包括 安全 、 
事务 处 理 .资源 池 和 消息 ,就 像 Web 服务 器 一 样 ,应 用 程序 服务 器 配置 了 多 种 可 扩展 和 容错 
技术 。 

下 面 简要 介绍 几 种 常见 的 Web 服务 器 。 

(1) Microsoft IIS 

IIS(Internet Information Server, 互 联网 信息 服务 ) 是 Microsoft 的 Web 服务 器 产品 。 
JS 是 目前 最 流行 的 Web 服务 器 产品 之 一 ,很 多 著名 的 网 站 都 建立 在 IIS 的 平台 上 。IIS 提 
供 了 一 个 图 形 界面 的 管理 工具 , 称 为 Internet 服务 管理 器 ,可 用 于 监视 配置 和 控制 Internet 
服务 。 

IIS 是 一 种 Web 服务 组 件 ,其 中 包括 Web 服务 器 .FTP 服务 器 、NNTP 服务 器 和 
SMTP 服务 器 ,分 别 用 于 网 页 浏览 文件 传输 、 新 闻 服 务 和 邮件 发 送 等 方面 。IIS 使 得 在 网 
络 上 发 布 信息 成 了 一 件 很 容易 的 事 。 它 提供 ISAPI(Intranet Server API) 作 为 扩展 Web 服 
务 器 功能 的 编程 接口 。 同 时 , 它 还 提供 一 个 Internet 数据 库 连接 器 ,可 以 实现 对 数据 库 的 查 
询 和 更 新 。 

(2) IBM WebSphere 

WebSphere 软件 平台 能 够 帮助 客户 在 Web 上 创建 自己 的 业务 或 将 自己 的 业务 扩展 到 
Web 上 ,为 客户 提供 一 个 可 靠 . 可 扩展 、 跨 平台 的 解决 方案 。 作 为 IBM 电子 商务 应 用 框架 
的 一 个 关键 组 成 部 分 ,WebSphere 软件 平台 为 客户 提供 了 一 个 使 其 能 够 充分 利用 Internet 
的 集成 解决 方案 。 

WebSphere 软件 平台 提供 了 一 整套 全 面 的 集成 电子 商务 软件 解决 方案 。 作 为 一 种 基 
于 行业 标准 的 平台 , 它 拥 有 足够 的 灵活 性 ,能 够 适应 市 场 的 波动 和 商业 目标 的 变化 。 它 能 够 
创建 .部 署 、. 管 理 . 扩 展 出 强大 、 可 移植 .与 众 不 同 的 电子 商务 应 用 ,所 有 这 些 内 容 在 必要 时 都 
可 以 与 现 有 的 传统 应 用 实现 集成 。 以 这 一 稳固 的 平台 为 基础 ,客户 可 以 将 不 同 的 IT 环境 


39 


4 


40 


SMW 


Web 应 用 程序 测试 


集成 在 一 起 ,从 而 能 够 最 大 程度 地 利用 现 有 的 投资 。 

WebSphere Application Server 是 一 种 功能 完善 .开放 的 Web 应 用 程序 服务 器 ,是 IBM 
电子 商务 计划 的 核心 部 分 , 它 基 于 Java 的 应 用 环境 ,用 于 建立 .部 署 和 管理 Internet 和 
Intranet Web 应 用 程序 。 这 一 整套 产品 进行 了 扩展 ,以 适应 Web 应 用 程序 服务 器 的 需要 ， 
范围 从 简单 到 高 级 直到 企业 级 。 

(3) BEA WebLogic 

BEA WebLogic Server 是 一 种 多 功能 .基于 标准 的 Web 应 用 服务 器 ,为 企业 构建 自己 
的 应 用 提供 了 坚实 的 基础 。 由 于 它 具 有 全 面 的 功能 、 对 开放 标准 的 遵从 性 、 多 层 架 构 、 支 持 
基于 组 件 的 开发 ,基于 Internet 的 企业 都 选择 它 来 开发 .部署 最 佳 的 应 用 。 

BEA WebLogic Server 为 构建 集成 化 的 企业 级 应 用 提供 了 稳固 的 基础 ,它们 以 
Internet 的 容量 和 速度 ,在 联网 的 企业 之 间 共 享 信息 、 提 交 服 务 ,实现 协作 自动 化 。BEA 
WebLogic Server 遵从 J2EE、 面 向 服务 的 架构 ,支持 丰富 的 工具 集 ,便于 实现 业务 逻辑 ,数据 
和 表达 的 分 离 ,提供 开发 和 部 署 各 种 业务 驱动 应 用 所 必需 的 底层 核心 功能 。 

(4) Apache 

Apache 源 于 NCSAhttpd 服务 器 ,经 过 多 次 修改 ,成 为 世界 上 最 流行 的 Web 服务 器 软 
件 之 一 。Apache 是 自由 软件 ,所 以 不 断 有 人 来 为 它 开发 新 的 功能 、 新 的 特性 、 修 改 原 来 的 缺 
陷 。Apache 的 特点 是 简单 .速度 快 ,性 能 稳定 ,并 可 做 代理 服务 器 来 使 用 。 本 来 它 只 用 于 小 型 
或 试验 Internet 网 络 ,后 来 逐步 扩充 到 各 种 UNIX 系统 中 ,尤其 对 Linux 的 支持 相当 完美 。 

Apache 是 以 进程 为 基础 的 结构 ,进程 要 比 线程 消耗 更 多 的 系统 开支 ,不 太 适 合 于 多 处 
理 器 环境 ,因此 在 一 个 Apache Web 站 点 扩容 时 ,通常 是 增加 服务 器 或 扩充 群集 节点 而 不 是 
增加 处 理 器 。 目 前 Apache 是 世界 上 用 得 最 多 的 Web 服务 器 ,很 多 著名 的 网 站 都 是 Apache 
的 产物 。 它 的 成 功 之 处 主要 在 于 它 的 源 代 码 开 放 . 有 一 支 开 放 的 开发 队伍 、 支 持 跨 平 台 的 应 用 
(可 以 运行 在 几乎 所 有 的 UNIX、Windows、Linux 系统 平台 上 ) 以 及 它 的 可 移植 性 等 方面 。 

(5) Tomcat 

Tomcat 是 一 个 开放 源 代 码 、 运 行 servlet 和 JSP Web 应 用 软件 的 基于 Java 的 Web 应 
用 软件 容器 。Tomcat Server 是 根据 servlet 和 JSP 规范 进行 执行 的 ,因此 可 以 说 Tomcat 
Server 也 实行 了 Apache-Jakarta 规范 且 比 绝 大 多 数 商业 应 用 软件 服务 器 要 好 。 

Tomcat 是 Java Servlet 2. 2 和 JavaServer Pages 1. 1 技术 的 标准 实现 ,是 基于 Apache 
许可 证 下 开发 的 自由 软件 。Tomcat 是 完全 重 写 的 Servlet API 2. 2 和 JSP 1. 1 兼容 的 
Servlet/JSP 容器 。Tomcat 使 用 了 JServ 的 一 些 代 码 , 特 别 是 Apache 服务 适配器 。 随 着 
Catalina Servlet 引擎 的 出 现 ,Tomcat 第 四 版 号 的 性 能 得 到 提升 ,使 得 它 成 为 一 个 值得 考虑 
的 Servlet/JSP 容器 ,因此 目前 许多 Web 服务 器 都 采用 Tomcat。 


&2 Web 应 用 技术 


2.2.1 URL 
1. URL 定义 


统一 资源 定位 符 (Uniform Resource Locator, URL) 是 用 来 表示 Web 站 点 内 外 资源 地 
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址 的 一 种 形式 。 使 用 URL 的 地 方 包括 超 链接 的 href 属性 ,指向 外 部 CSS 文件 的 二 link 
元 素 ,指向 一 个 图 像 的 SRC 属性 ,或 者 一 个 JavaScript 资源 文件 和 CSS 特性 的 URL 值 。 

统一 资源 标识 符 (Uniform Resource Identifier,URI) 是 更 一 般 性 的 术语 。URL 是 一 种 
特殊 类 型 的 URI。 


2. URL 结构 


URL 包含 了 用 于 查找 某 个 资源 的 足够 的 信息 ,URL 中 的 每 个 片段 都 向 客户 端 和 服务 
器 端 传达 着 特定 的 信息 。URL 的 一 般 语 法 格式 为 :( 带 方 括 号 [] 的 为 可 选项 ) 


protocol :// hostname[ :port] / path / [;parameters][?query] # fragment 


下 面 详细 说 明 各 部 分 的 含义 。 

(1) protocol 

协议 (protocol) 用 于 指定 所 使 用 的 传输 协议 。 协 议 与 URL 的 其 余部 分 用 冒号 和 两 个 
和 斜 线 (://) 隔 开 。 常 见 的 协议 如 下 。 

file: 存 取 本 地 磁盘 文件 的 服务 ,其 格式 为 file://。 

ftp: 文件 传输 协议 FTP ,其 格式 为 ftp://。 

http: 超 文 本 传输 协议 ,HTTP 是 目前 WWW 中 应 用 最 广 的 协议 ,格式 为 http://。 

https: 超 文 本 传输 安全 协议 ,其 格式 为 https://。 

mailto 传送 E-mail 协议 ,通过 SMTP 访问 ,其 格式 为 mailto: 。 

MMS: 通过 支持 MMS( 流 媒体 ) 协 议 的 播放 器 播放 该 资源 (代表 软件 有 Windows 
Media Player) ,其 格式 为 MMS://。 

ed2k: 通过 支持 ed2k( 专 用 下 载 链 接 ) 协 议 的 P2P 软件 访问 该 资源 (代表 软件 有 电驴 )， 
其 格式 为 ed2k://。 

Flashget: 通过 支持 Flashget( 专 用 下 载 链接 ) 协 议 的 P2P 软件 访问 该 资源 (代表 软件 有 
快车 ) ,其 格式 为 flashget://。 

thunder: 通过 支持 thunder( 专 用 下 载 链接 ) 协 议 的 P2P 软件 访问 该 资源 (代表 软件 有 
迅雷 ) ,其 格式 为 thunder://。 

news: 网 络 新 闻 组 协议 。 

(2) hostname 

主机 名 (hostname) 是 指 存放 资源 的 服务 器 的 域名 系统 (DNS) 的 主机 名 或 IP 地 址 。 有 
时 ,在 主机 名 前 也 可 以 包含 连接 到 服务 器 所 需 的 用 户 名 和 密码 。 

(3) port 

端口 号 (port) 为 整数 ,可 选 , 省 略 时 使 用 方案 的 默认 端口 。 各 种 传输 协议 都 有 默认 的 端 
口号 ,如 http 的 默认 端口 号 为 80。 如 果 输 入 时 省 略 , 则 使 用 默认 端口 号 。 有 时 候 出 于 安全 
或 其 他 考虑 ,可 以 在 服务 器 上 对 端口 进行 重 定义 , 即 采 用 非 标 准 端口 号 ,此 时 ,URL 中 就 不 
能 省 略 端口 号 这 一 项 。 

(4) path 

路 径 (path) 指 定 了 Web 服务 器 上 包含 所 请 求 的 文档 的 目录 ,就 像 计算 机 上 保存 文件 时 
所 指定 的 文件 夹 一 样 。 路 径 是 由 零 或 多 个 *“/” 符 号 隔 开 的 字符 串 .标明 客户 到 达 最 终 目标 文 
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件 所 要 经 过 的 路 线 。 
(5) parameters 
parameters 是 用 于 指定 特殊 参数 的 可 选项 。 
(6) query 
query 为 可 选项 ,用 于 给 动态 网 页 (如 使 用 CGI、ISAPI、PHP/JSP/ASP/ASP. NET 等 
技术 制作 的 网 页 ) 传 递 参数 ,可 有 多 个 参数 ,用 “&.” 符 号 隔 开 ,每 个 参数 的 名 和 值 用 “二 ”符号 
隔 开 。 
(7) fragment 
fragment 是 字符 串 , 用 于 指定 网 络 资源 中 的 片断 。 例 如 一 个 网 页 中 有 多 个 名 词 解释 ， 
可 使 用 fragment 直接 定位 到 某 一 名 词 解释 。 
有 时 候 ,URL 以 斜 杠 /结尾 ,而 没有 给 出 文件 名 ,在 这 种 情况 下 , URL 引用 路 径 中 最 后 
一 个 目录 中 的 默认 文件 (通常 对 应 于 主页 ), 这 个 文件 常常 被 称 为 index. html 或 
default. htm 。 
例如 : http://fund. eastmoney. com/fund. html; 
http://fund. eastmoney. com/compare/?code=590008&fix=1; 
http://www. swust. edu. cn/s/2/t/851/p/11/c/837/d/1361/list. htm。 


3. URL 分 类 


URL 有 两 种 ,分 别 是 绝对 URL 和 相对 URL。 

(1) 绝对 URL 

绝对 URL(Absolute URL) 显 示 文 件 的 完整 路 径 , 它 包含 协议 种 类 、 服 务 器 域名 、 文 件 
路 径 和 文件 名 ,如 http://www. cs. swust. edu. cn/overview/school-overview. html。 

(2) 相对 URL 

相对 URL(Relative URL) 以 包含 URL 本 身 的 文件 夹 的 位 置 为 参考 点 ,描述 目标 文件 
夹 的 位 置 ,如 images/cd. swf。 

如 果 目 标 文件 与 当前 页 面 ( 也 就 是 包含 URL 的 页 面 ) 在 同一 个 目录 ,那么 这 个 文件 的 
相对 URL 仅仅 是 文件 名 和 扩展 名 。 如 果 目 标 文件 在 当前 目录 的 子 目录 中 ,那么 它 的 相对 
URL 是 子 目录 名 ,后 面 是 斜 杠 ,然后 是 目标 文件 的 文件 名 和 扩展 名 。 如 果 要 引用 文件 层次 
结构 中 更 高 层 目 录 中 的 文件 ,那么 使 用 两 个 句点 和 一 条 斜 杜 。 可 以 组 合 和 重复 使 用 两 个 句 
点 和 一 条 斜 村 ,从 而 引用 当前 文件 所 在 的 硬盘 上 的 任何 文件 。 

(3) 绝对 URL 与 相对 URL 的 用 处 

绝对 URL 书写 起 来 很 麻烦 ,但 可 以 保证 路 径 的 唯一 性 。 通 常 连接 到 Internet 上 其 他 网 
页 的 超 链接 必须 用 绝对 URL。 例 如 , 当 想 在 网 站 中 链接 西南 科技 大 学 新 闻 网 时 ,一 定 要 用 
绝对 URL。 

对 于 同一 服务 器 上 的 文件 ,应 该 使 用 相对 URL。 一 方面 它们 更 容易 输入 , 另 一 方面 ,在 
将 页 面 从 本 地 系统 转移 到 服务 器 上 时 更 方便 .只 要 每 个 文件 的 相对 位 置 保持 不 变 , 链 接 就 仍 
然 有 效 。 
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2:2.2 HTTP 
1. HTTP 协议 简介 


HTTP 协议 (Hypertext Transfer Protocol) , 即 超 文本 传输 协议 ,是 Internet 上 使 用 最 
广泛 的 应 用 层 协议 之 一 。HTTP 协议 是 一 个 通用 的 、 无 状态 的 、 基 于 对 象 的 超 文 本 传输 协 
议 ,通过 在 HTTP 客户 程序 和 HTTP 服务 程序 之 间 建 立 端 对 端的 连接 实现 互联 网 上 超 文 
本 文件 的 传输 。 

HTTP 在 TCP/IP 协议 栈 中 的 位 置 如 图 2-2 所 示 。 

HTTP 协议 通常 承载 于 TCP 协议 之 上 ,有 时 也 承载 于 
TLS 或 SSL 协议 层 之 上 ,此 时 就 成 了 人 们 常 说 的 HTTPS。 
默认 HTTP 的 端口 号 为 80,HTTPS 的 端口 号 为 443 。 

HTTP 协议 的 主要 特点 如 下 。 

(1) HTTP 工作 在 应 用 层 : 基于 TCP/IP 的 连接 方式 ， 
但 是 不 提供 可 靠 性 或 重 传 机 制 。 生生 

(2) 请 求 / 响 应 消息 对 : 一 旦 建立 了 传输 会 话 , 一 端 ( 通 图 2-2 TCP/IP 协议 栈 
常 是 浏览 器 ) 必须 向 响应 的 另 一 端 ( 通 常 是 服务 器 ) 发 送 
HTTP 请 求 ,响应 的 一 端 则 返回 HTTP 消息 作为 应 答 内 容 。 

(3) 无 状态 性 : 每 个 HTTP 请 求 都 是 自 包含 的 ,服务 器 不 保留 以 前 的 请 求 或 会 话 的 历 
史记 录 , 因 此 大 大 减轻 了 服务 器 记忆 负担 ,从 而 保持 较 快 的 响应 速度 。 

(4) 面向 对 象 : 允许 传送 任意 类 型 的 数据 对 象 ,HTTP 通过 数据 类 型 和 长 度 来 标识 所 
传送 的 数据 内 容 和 大 小 ,并 允许 对 数据 进行 压缩 传送 。 

(5) 双向 传输 : 浏览 器 请 求 Web 页 时 ,服务 器 把 网 页 副本 传输 给 浏览 器 ,并 且 HTTP 
也 允许 浏览 器 向 服务 器 传输 数据 ,如 用 户 通 过 表单 提交 内 容 。 

(6) 协商 能 力 : HTTP 允许 浏览 器 和 服务 器 协商 一 些 细节 ,如 在 传输 中 使 用 的 字符 集 、 
发 送 方 和 接收 方 的 传输 能 力 `.HTTP 消息 首部 所 使 用 的 文档 表示 和 编码 等 。 

(7) 支持 高 速 缓存 : HTTP 允许 服务 器 控制 是 否 能 高 速 缓存 页 面 、 如 何 高 速 缓存 页 面 
以 及 页 面 的 生命 期 ,也 允许 浏览 器 强制 页 面 请 求 绕 过 高 速 缓存 ,从 拥有 该 页 的 服务 器 上 得 到 
新 的 副本 。 

(8) 支持 代理 : HTTP 允许 在 浏览 器 到 服务 器 之 间 路 径 上 的 机 器 作为 代理 服务 器 ,将 
Web 页 放 入 高 速 缓 存 并 从 中 响应 浏览 器 的 请 求 。 


2. HTTP 工作 流程 


一 次 HTTP 操作 称 为 一 个 事务 ,其 工作 过 程 可 分 为 以 下 4 步 。 

(1) 客户 机 与 服务 器 需要 建立 连接 。 只 要 单 击 某 个 超级 链接 ,HTTP 就 开始 工作 。 

(2) 建立 连接 后 ,客户 机 发 送 一 个 请 求 给 服务 器 。 

(3) 服务 器 接 到 请 求 后 ,给 予 相 应 的 响应 信息 ,其 格式 为 一 个 状态 行 ,包括 信息 的 协议 
版 本 号 一 个 成 功 或 错误 的 代码 ,以 及 服务 器 信息 、 实 体 信息 和 可 能 的 内 容 。 

(4) 客户 端 接收 服务 器 所 返回 的 信息 ,通过 浏览 器 显示 在 用 户 的 显示 屏 上 ,然后 客户 机 
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与 服务 器 断 开 连 接 。 

如 果 在 以 上 过 程 中 的 某 一 步 出 现 错误 ,那么 产生 错误 的 信息 将 返回 到 客户 端 ,由 浏览 器 
显示 输出 。 对 于 用 户 来 说 ,这 些 过 程 是 由 HTTP 自己 完成 的 ,用 户 只 要 用 鼠标 单 击 ,等 待 信 
息 显 示 就 可 以 了 。 

HTTP 工作 过 程 如 图 2-3 所 示 。 


图 2-3 HTTP 工作 过 程 
3. HTTP 报 文 结构 


HTTP 协议 采用 请 求 / 响 应 模型 。 客 户 端 向 服务 器 发 送 一 个 请 求 ,请 求 头 包含 请 求 的 
方法 ,URI 协议 版 本 ,以 及 请 求 修饰 符 、 客 户 信息 和 内 容 类 似 于 MIME( 多 用 途 Internet 邮 
件 扩 展 协议 ) 的 消息 结构 。 服 务 器 以 一 个 状态 行 作为 响应 ,相应 的 内 容 包 括 消 息 协 议 的 版 
本 成 功 或 者 错误 编码 ,以 及 服务 器 信息 、 实 体 元 信息 以 及 可 能 的 实体 内 容 。 

HTTP 协议 有 两 类 报 文 ,分 别 是 请 求 报 文 和 响应 报 文 。 

(1) 请 求 报 文 

一 个 HTTP 请 求 报 文 由 请 求 行 (Request Line) .请 求 头 部 (Header) 、 空 行 (Blank Line) 
和 请 求 数 据 (Request Body)4 个 部 分 组 成 。 图 2-4 给 出 了 请 求 报 文 的 一 般 格 式 。 


潜水 办 法 空格 空格 CU 回 车 符 | 换行 符 | 请 求 行 


2-4 请 求 报 文 的 一 般 格式 
报 文 形式 如 下 : 


<request— line> 

<headers> 

<blank line> 

[< request - body >] 

请 求 行 

请 求 行 由 请 求 方法 字段 .URL 字段 和 HTTP 协议 版 本 字段 三 个 字段 组 成 ,它们 用 空格 
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分 隔 。 例 如 ,GETVindex. html HTTP/1. 1。 
HTTP/1. 1 协议 中 共 定 义 了 8 种 方法 (有 时 也 叫 * 动 作 ”) 来 表明 Request-URI 指定 的 
资源 的 不 同 操作 方式 ,如 表 2-1 所 示 。 


表 2-1 HTTP 请 求 方法 


方法 名 备 注 

GET 获取 一 个 URL 指定 的 资源 , 即 资源 实体 

HEAD HEAD 和 GET 本 质 是 一 样 的 ,区 别 在 于 HEAD 不 含 呈 现 数据 ,而 仅仅 是 HTTP 头 
信息 

POST 向 指定 资源 提交 数据 进行 处 理 请 求 (例如 提交 表单 或 者 上 传 文件 ) 。 数 据 被 包含 在 请 求 
体 中 。POST 请 求 可 能 会 导致 新 的 资源 的 建立 和 /或 已 有 资源 的 修改 

PUT 从 客户 端 向 服务 器 传送 的 数据 取代 指定 文档 的 内 容 。 出 于 安全 考虑 ,大 多 数 服务 器 不 
支持 此 方法 

DELETE 请 求 服务 器 删除 Request-URI 所 标识 的 资源 。 出 于 安全 考虑 ,大 多 数 服务 器 不 支持 此 
方法 

TRACE 回 显 服务 器 收 到 的 请 求 , 主 要 用 于 测试 或 诊断 。 出 于 安全 考虑 ,大 多 数 服务 器 不 支持 此 
方法 


CONNECT ”HTTP/1.1 协议 中 预 留 给 能 够 将 连接 改 为 管道 方式 的 代理 服务 器 
OPTIONS 查询 能 力 , 返 回 服务 器 针对 特定 资源 所 支持 的 HTTP 请 求 方法 


其 中 GET 和 POST 使 用 最 多 。 

GET: 当 客 户 端 要 从 服务 器 中 读 取 文档 时 ,使 用 GET 方法 。GET 方法 要 求 服务 器 将 
URL 定位 的 资源 放 在 响应 报 文 的 数据 部 分 , 回 送 给 客户 端 。 使 用 GET 方法 时 ,请 求 参 数 和 
对 应 的 值 附加 在 URL 后 面 ,利用 一 个 问号 (?) 代 表 URL 的 结尾 与 请 求 参 数 的 开始 ,传递 参 
数 长 度 受 限制 ,例如 /index. jsp?id 二 100&.op 二 bind。 

POST: 当 客 户 端 给 服务 器 提供 信息 较 多 时 可 以 使 用 POST 方法 。POST 方法 将 请 求 
参数 封装 在 HTTP 请 求 数据 中 ,以 名 称 / 值 的 形式 出 现 , 可 以 传输 大 量 数据 。 

@ 请 求 头 部 

请 求 头 部 由 关键 字 / 值 对 组 成 ,每 行 一 对 ,关键 字 和 值 用 英文 骨 号 “ :分隔 。 请 求 头 部 通 
知 服务 器 有 关于 客户 端 请 求 的 信息 。 典 型 的 请 求 头 有 User-Agent( 产 生 请 求 的 浏览 器 类 
型 ) ,Accept( 客 户 端 可 识别 的 内 容 类 型 列表 ) ,Host( 请 求 的 主机 名 ,允许 多 个 域名 同 处 一 个 
IP 地 址 , 即 虚拟 主机 )。 

@ 空 行 

最 后 一 个 请 求 头 之 后 是 一 个 空 行 ,发 送 回 车 符 和 换行 符 ,通知 服务 器 以 下 不 再 有 请 

@ 请 求 数据 

请 求 数据 不 在 GET 方法 中 使 用 ,而 是 在 POST 方法 中 使 用 。POST 方法 适用 于 需要 
客户 填写 表单 的 场合 。 与 请 求 数据 相关 的 最 常 使 用 的 请 求 头 是 Content-Type 和 Content- 
Length 。 

下 面 是 一 个 典型 的 HTTP 请 求 消息 : 
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GET /xml/notices/466. xml HTTP/1.1 
Host: www. dean. swust. edu. cn 
Accept: 关 / 关 
(额外 的 回 车 符 和 换行 符 ) 


(2) 响应 报 文 
在 接收 和 解释 请 求 消 息 后 ,服务 器 返回 一 个 HTTP 响应 消息 。HTTP 响应 由 三 个 部 
分 组 成 ,分 别 是 状态 行 、 消 息 报头 .响应 正文 。HTTP 响应 报 文 的 一 般 格式 如 图 2-5 所 示 。 


版 本 空格 | 状态 码 | 空 # | 短语 回 车 换行 符 。 | 状态 行 
天 字段 名 | : | 空 必 全 | 回 企 换行 
响应 报头 


头 部 字段 名 空格 值 回 车 换行 


回 车 换行 


图 2-5 响应 报 文 的 一 般 格式 


Q@ 状态 行 
状态 行 格式 如 下 : 
HTTP - Version Status - Code Reason - Phrase CRLF 


其 中 ,HTTP-Version 表示 服务 器 HTTP 协议 的 版 本 ; Status-Code 表示 服务 器 发 回 的 
响应 状态 代码 ; Reason-Phrase 表示 状态 代码 的 文本 描述 。 状 态 代 码 由 三 位 数字 组 成 ,第 一 
个 数字 定义 了 响应 的 类 别 , 且 有 5 种 可 能 取 值 。 状 态 码 详细 信息 见 表 2-2 一 表 2-6。 

@ 响应 报头 

HTTP 消息 报头 包括 普通 报头 ,请求 报 头 \ 响 应 报头 、 实 体 报头 。 每 一 个 报头 域 都 是 由 
名 字 十 “: "十 空格 十 值 组 成 ,消息 报头 域 的 名 字 是 大 小 写 无 关 的 。 

名 响应 正文 

响应 正文 就 是 服务 器 返回 的 资源 的 内 容 。 下 面 是 一 个 典型 的 HTTP 响应 消息 。 


HTTP/1.1 200 OK 

Date: Sun，08 Dec 2013 08:55:18 GMT 

Server: Apache/2.4.3 (Unix) 

Last — Modified: Fri, 06 Dec 2013 00:54:33 GMT 
ETag: "19fc— 4ecd316ele440" 

Accept - Ranges: bytes 

Content - Length: 6652 

Content — Type: application/xml 

(额外 的 回 车 符 和 换行 符 ) 

<?xml version = "1.0" encoding = "utf — 8"?>\r\n <?xml — stylesheet type = "text/xsl" href = "/ 
xml/xslt/notice. xsl"?>\r\n 

<dean>\r\n 

… (数据 数据 ) 
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4. HTTP 状态 码 


HTTP 状态 码 (HTTP Status Code) 是 用 以 表示 网 页 服务 器 HTTP 响应 状态 的 字 代 
码 。 状 态 代 码 由 三 位 数字 组 成 .第 一 个 数字 定义 了 响应 的 类 别 , 且 有 5 种 可 能 取 值 。 

(1) 消息 (1 字 头 ) 

这 类 状态 码 表示 请 求 已 被 接受 ,需要 继续 处 理 。 这 类 响应 是 临时 响应 ,只 包含 状态 行 和 
某 些 可 选 的 响应 头 信息 ,并 以 空 行 结束 。 由 于 HTTP/1. 0 协议 中 没有 定义 任何 1xx 状态 
码 , 所 以 除非 在 某 些 试验 条 件 下 .服务 器 禁止 向 此 类 客户 端 发 送 1xx 响应 。HTTP 的 消息 
类 状态 码 详细 信息 见 表 2-2。 


表 2-2 1 字 头 状态 码 


状态 码 状态 消息 含 4 
100 Continue( 继 续 ) 收 到 了 请 求 的 起 始 部 分 ,客户 端 应 该 继续 请 求 
101 Switching Protocols 服务 器 已 经 理解 了 客户 端的 请 求 , 并 将 通过 Upgrade 消息 
(切换 协议 ) 头 通 知客 户 端 采用 不 同 的 协议 来 完成 这 个 请 求 
102 Processing( 处 理 中 ) 代表 处 理 将 被 继续 执行 
(2) 成 功 (2 字 头 ) 


这 一 类 型 的 状态 码 代 表 请 求 已 成 功 被 服务 器 接收 、 理 解 , 并 接受 。HTTP 请 求 成 功 的 
状态 码 详细 信息 见 表 2-3。 


表 2-3 2 字 头 状态 码 


状态 码 状态 消息 含 义 
200 OK( 成 功 ) 服务 器 成 功 处 理 了 请 求 ( 这 个 最 常见 ? 
201 Created( 已 创建 ) 请 求 已 经 实现 ,而 且 有 一 个 新 的 资源 已 经 按 请 求 的 需要 建 
立 , 且 其 URI 已 经 随 Location 头 信息 返回 
202 Accepted( 已 接受 ) 服务 器 已 接受 请 求 ,但 尚未 处 理 。 返 回 202 状态 码 的 响应 


的 目的 是 允许 服务 器 接受 其 他 过 程 的 请 求 , 而 不 必 让 客户 
端 一 直 保持 与 服务 器 的 连接 直到 批 处 理 操作 全 部 完成 
203 Non-Authoritative Information ”服务 器 已 成 功 处 理 请 求 ,但 返回 的 实体 头 部 元 信息 不 是 在 


( 非 权 威信 息 ) 原始 服务 器 上 有 效 的 确定 集合 ,而 是 来 自 本 地 或 者 第 三 方 
的 拷贝 。 当 前 的 信息 可 能 是 原始 版 本 的 子 集 或 者 超 集 
204 No Content( 没 有 内 容 ) 服务 器 成 功 处 理 了 请 求 ,但 不 需要 返回 任何 实体 内 容 , 并 且 


希望 返回 更 新 后 的 元 信息 。 响 应 可 能 通过 实体 头 部 的 形 
式 ,返回 新 的 或 更 新 后 的 元 信息 。 如 果 存 在 这 些 头 部 信息 ， 
则 应 当 与 所 请 求 的 变量 相 呼应 

205 Reset Content( 重 置 内 容 ) 服务 器 成 功 处 理 了 请 求 , 且 没有 返回 任何 内 容 。 与 204 响 
应 不 同 的 是 ,返回 此 状态 码 的 响应 要 求 请 求 者 重 置 文档 视 
图 。 该 响应 主要 用 于 接受 用 户 输入 后 ,立即 重 置 表单 ,以 便 
用 户 能 够 轻松 地 开始 另 一 次 输入 

206 Partial Content( 部 分 内 容 ) 服务 器 已 经 成 功 处 理 了 部 分 Get 请 求 。 类 似 于 FlashGet、 
迅雷 等 HTTP 下 载 工具 ,使 用 此 类 响应 实现 断 点 续 传 或 者 
将 一 个 大 文档 分 解 为 多 个 下 载 段 同时 下 载 
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(3) 重 定向 (3 字 头 ) 

这 类 状态 码 表示 需要 客户 端 采 取 进 一 步 的 操作 才能 完成 请 求 。 通 常 ,这 些 状态 码 用 来 
重 定 向 ,后 续 的 请 求 地 址 ( 重 定向 目标 ) 在 本 次 响应 的 Location 域 中 指明 。 

当 且 仅 当 后 续 的 请 求 所 使 用 的 方法 是 GET 或 者 HEAD 时 ,用 户 浏 览 器 才 可 以 在 没有 
用 户 介入 的 情况 下 自动 提交 所 需要 的 后 续 请 求 。 客 户 端 应 当 自 动 监测 无 限 循环 重 定 向 , 因 
为 这 会 导致 服务 器 和 客户 端 大 量 不 必要 的 资源 消耗 。 按 照 HTTP/1. 0 版 规范 的 建议 ,浏览 
器 不 应 自动 访问 超过 5 次 的 重 定 向 。HTTP 的 重 定 向 状态 码 详细 信息 见 表 2-4。 


表 2-4 3 字 头 状态 码 


状态 码 


状态 信息 


含义 


300 


301 


302 


303 


304 


305 


306 
307 


Multiple Choices( 多 项 选择 ) 


Moved Permanently( 永 久 移 除 ) 


Found( 已 找到 ) 


See Other( 参 见 其 他 ) 


Not Modified 
(未 修改 ) 


Use Proxy( 使 用 代理 ) 


Switch Proxy( 切 换代 理 ) 
Temporary Redirect( 临 时 重 定向 ) 


被 请 求 的 资源 有 一 系列 可 供 选择 的 回馈 信息 ,每 个 都 有 
自己 特定 的 地 址 和 浏览 器 驱动 的 商议 信息 。 用 户 或 浏览 
器 能 够 自行 选择 一 个 首选 的 地 址 进行 重 定向 

请 求 的 资源 已 永久 移动 到 新 位 置 。 服 务 器 返回 此 响应 
时 ,会 自动 将 请 求 者 转 到 新 位 置 

服务 器 临时 从 不 同位 置 的 URI 响应 请 求 ,但 请 求 者 应 继 
续 使 用 原 有 位 置 来 进行 以 后 的 请 求 

对 应 当前 请 求 的 响应 可 以 在 男 一 个 URI 上 找到 ,而 且 客 
户 端 应 当 采 用 GET 的 方式 访问 那个 资源 。 此 方法 主要 
是 为 了 满足 由 脚本 激活 的 POST 请 求 输出 重 定向 到 一 个 
新 的 资源 

客户 端 发 送 了 一 个 带 条 件 的 Get 请 求 , 且 该 请 求 已 被 允 
许 , 而 文档 的 内 容 ( 自 上 次 访问 以 来 或 者 根据 请 求 的 条 
件 ) 并 没有 改变 ,服务 器 将 返回 此 状态 码 

请 求 的 资源 必须 通过 指定 的 代理 才能 被 访问 。Location 
域 中 将 给 出 指定 的 代理 的 URI 信息 ,接收 者 需要 重复 发 
送 一 个 单独 的 请 求 ,通过 这 个 代理 才能 访问 相应 资源 。 
只 有 原始 服务 器 才能 建立 305 响应 

在 最 新 版 的 规范 中 ,306 状态 码 已 经 不 再 被 使 用 

请 求 的 资源 现在 临时 从 不 同 的 URI 响应 请 求 。 由 于 这 
样 的 重 定向 是 临时 的 ,客户 端 应 当 继续 向 原 有 地 址 发 送 
以 后 的 请 求 


(4) 请 求 错误 (4 字 头 ) 

这 类 状态 码 表示 客户 端 看 起 来 可 能 发 生 了 错误 ,妨碍 了 服务 器 的 处 理 。 除 非 响 应 的 是 
一 个 HEAD 请 求 ,否则 服务 器 就 应 该 返回 一 个 解释 当前 错误 状况 的 实体 ,以 及 这 是 临时 的 
还 是 永久 性 的 状况 。 这 些 状态 码 适 用 于 任何 请 求 方法 。 浏 览 器 应 当 向 用 户 显示 任何 包含 在 
此 类 错误 响应 中 的 实体 内 容 。HTTP 的 请 求 错误 类 状态 码 详细 信息 见 表 2-5。 


表 2-5 4 字 头 状态 码 


状态 码 


状态 信息 


含 义 


400 
401 


Bad Request( 坏 请 求 ) 
Unauthorized( 未 授权 ) 


语义 有 误 ,服务 器 无 法 理解 当前 请 求 。 请 求 参数 有 误 
当前 请 求 需要 用 户 身份 验证 。 对 于 需要 登录 的 网 页 , 服 
务 器 可 能 返回 此 响应 
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续 表 


状态 码 


状态 信息 


含义 


402 
403 
404 


405 


406 


407 


408 


409 


410 


411 


412 


413 


414 


415 


416 


417 


Payment Required( 要 求 付款 ) 
Forbidden( 禁 止 ) 
Not Found( 未 找到 ) 


Method Not Allowed( 方 法 禁用 ) 


Not Acceptable( 不 接受 ) 


Proxy Authentication Required 


(要 求 进行 代理 认证 ) 


Request Timeout( 请 求 超时 ) 


Conflict( 冲 突 ) 


Gone( 消 失 了 ) 
Length Required( 要 求 长 度 指示 ) 


Precondition Failed( 先 决 条 件 失败 ) 


Request Entity Too Large( 请 求 
实体 太 大 ) 


Request URI Too Long (请 求 
URI 太 长 ) 

Unsupported Media Type 不 支 
持 的 媒体 类 型 

Requested Range Not Satisfiable 
(所 请 求 的 范围 未 得 到 满足 ) 


Expectation Failed( 无 法 满足 期 望 ) 


该 状态 码 是 为 了 将 来 可 能 的 需求 而 预 留 的 

服务 器 已 经 理解 请 求 , 但 是 拒绝 执行 它 

请 求 失败 ,服务 器 未 发 现 请 求 所 希望 得 到 的 资源 。 出 现 
这 个 错误 很 可 能 是 因为 服务 器 上 没有 此 页 面 

请 求 中 的 方法 不 能 用 于 请 求 相应 的 资源 。 该 响应 必须 返 
回 一 个 Allow 头 信息 用 以 表示 出 当前 资源 能 够 接受 的 请 
求 方法 的 列表 。 鉴 于 PUT、DELETE 方法 会 对 服务 器 上 
的 资源 进行 写 操作 ,因而 绝 大 部 分 的 网 页 服务 器 都 不 支 
持 或 者 在 默认 配置 下 不 允许 上 述 请 求 方法 ,对 于 此 类 请 
求 均 会 返回 405 错误 

请 求 的 资源 的 内 容 特性 无 法 满足 请 求 头 中 的 条 件 , 因 而 
无 法 生成 响应 实体 。 除 非 这 是 一 个 HEAD 请 求 ,否则 该 
响应 就 应 当 返 回 一 个 包含 可 以 让 用 户 或 者 浏览 器 从 中 选 
择 最 合适 的 实体 特性 以 及 地 址 列表 的 实体 

与 401 响应 类 似 ,只 是 客户 端 必须 在 代理 服务 器 上 进 
行 身份 验证 。 代 理 服 务 器 必须 返回 一 个 Proxy- 
Authenticate 用 以 进行 身份 询问 。 客 户 端 可 以 返回 一 个 
Proxy-Authorization 信息 头 用 以 验证 

请 求 超时 。 客 户 端 没有 在 服务 器 预备 等 待 的 时 间 内 完成 
一 个 请 求 的 发 送 。 客 户 端 可 以 随时 再 次 提交 这 一 请 求 而 
无 须 进行 任何 更 改 

与 被 请 求 的 资源 的 当前 状态 之 间 存 在 冲突 ,请 求 无 法 
完成 

被 请 求 的 资源 在 服务 器 上 已 经 不 可 用 

服务 器 拒绝 在 没有 定义 Content-Length 头 的 情况 下 接受 
请 求 。 在 添加 了 表明 请 求 消息 体 长 度 的 有 效 Content- 
Length 头 之 后 ,客户 端 可 以 再 次 提交 该 请 求 

服务 器 在 验证 请 求 的 头 字 段 中 给 出 的 先决 条 件 ,没有 满 
足 其 中 的 一 个 或 多 个 。 这 种 情况 允许 客户 端 在 获取 资源 
时 在 请 求 的 元 信息 (请 求 头 字 段 数据 ) 中 设置 先决 条 件 ， 
以 避免 该 请 求 应 用 到 未 请 求 的 资源 上 

请 求 的 实体 数据 大 小 超过 了 服务 器 能 够 处 理 的 范围 , 服 
务 器 拒绝 处 理 。 这 种 情况 下 ,服务 器 可 以 关闭 连接 以 免 
客户 端 继续 发 送 这 样 的 请 求 

请 求 的 URI 长 度 超过 了 服务 器 能 够 或 希望 解释 的 长 度 ， 
服务 器 拒绝 对 该 请 求 提供 服务 

请 求 中 提交 的 实体 并 不 是 服务 器 中 所 支持 的 格式 ,因此 
请 求 被 拒绝 

请 求 中 包含 了 Range 请 求 头 , 且 Range 中 指定 的 任何 数 
据 范围 都 与 当前 资源 的 可 用 范围 不 重合 ,同时 请 求 中 又 
没有 定义 IRange 请 求 头 

服务 器 无 法 满足 请 求 头 Expect 中 指定 的 预期 内 容 


49 


MY 


Web 应 用 程序 测试 


续 表 


状态 码 


状态 信息 


含义 


421 


422 
423 
424 


There are too many connections 
from your internet address 
Unprocessable Entity 

Locked 

Failed Dependency 


从 当前 客户 端 所 在 的 IP 地 址 到 服务 器 的 连接 数 超过 了 
服务 器 许可 的 最 大 范围 

请 求 格式 正确 ,但 是 由 于 含有 语义 错误 ,无 法 响应 

当前 资源 被 锁定 

由 于 之 前 的 某 个 请 求 发 生 的 错误 ,导致 当前 请 求 失败 


状态 码 


(5) 服务 器 错误 (5 字 头 ) 
这 类 状态 码 表 示 服 务 器 在 处 理 请 求 的 过 程 中 有 错误 或 者 异常 状态 发 生 , 也 有 可 能 是 服 
务 器 意识 到 以 当前 的 软 硬 件 资源 无 法 完成 对 请 求 的 处 理 。 除 非 这 是 一 个 HEAD 请 求 ,否则 
服务 器 应 当 包 含 一 个 解释 当前 错误 状态 以 及 这 个 状况 是 临时 的 还 是 永久 的 解释 信息 实体 。 
浏览 器 应 当 向 用 户 展示 任何 在 当前 响应 中 被 包含 的 实体 。HTTP 的 服务 器 错误 类 的 状态 
码 详细 信息 见 表 2-6。 


表 2-6 5 字 头 状态 码 


状态 信息 


含义 


500 


501 


502 


503 


504 


505 


Internal Server Error( 内 部 服务 
器 错误 ) 
Not Implemented( 未 实现 ) 


Bad Gateway( 网 关 故 障 ) 


Service Unavailable (未 提供 此 
服务 ) 
Gateway Timeout( 网 关 超 时 ) 


HTTP Version Not Supported 
(不 支持 的 HTTP 版 本 ) 


5. HTTP 查看 工具 


使 用 微软 的 WFetch 可 以 通过 指定 主机 名 ,资源 路 径 来 很 轻松 地 查看 本 机 HTTP 连接 
详细 信息 。WFetch 主 界面 如 图 2-6 所 示 。 

Host 字段 填写 的 主机 名 不 包括 常见 的 “http://”。Path 字段 填写 资源 路 径 。 默 认 使 用 
主机 随机 分 配 的 端口 号 (Port) ,HTTP 协议 版 本 默认 为 1. 1。 同 时 还 要 选 定 想 要 的 请 求 方 
法 ,默认 为 GET。 单 击 Go 按钮 就 可 以 开始 连接 并 获得 HTTP 请 求 、 响 应 报 文 了 。 

下 面 以 http://www. dean. swust. edu. cn/xml/notices/466. xml 为 例 说 明 WFetch 的 


使 


服务 器 遇 到 错误 ,导致 其 无 法 完成 对 请 求 的 处 理 


服务 器 不 支持 当前 请 求 所 需要 的 某 个 功能 。 当 服务 器 无 
法 识别 请 求 的 方法 ,并 且 无 法 支持 其 对 任何 资源 的 请 求 ， 
返回 此 代码 

作为 网 关 或 者 代理 工作 的 服务 器 尝试 执行 请 求 时 ,从 上 
游 服务 器 接收 到 无 效 的 响应 

由 于 超载 或 停机 维护 ,服务 器 目前 无 法 处 理 请 求 。 这 个 
状况 是 临时 的 ,并 且 将 在 一 段 时 间 以 后 恢复 

服务 器 作为 网 关 或 代理 , 未 能 及 时 从 上 游 服务 器 或 者 辅 
助 服务 器 收 到 响应 

服务 器 不 支持 请 求 中 所 用 的 HTTP 协议 版 本 。 有 些 服 
务 器 不 支持 HTTP 早期 的 HTTP 协议 版 本 ,也 不 支持 太 
高 的 协议 版 本 


过 程 。 首 先 Verb 项 选择 Get; 接着 在 Host 中 输入 www. dean. swust. edu. cn; 然后 在 


Path 中 输入 /xml/notices/466. xml; 最 后 单 击 Go 按钮 .在 Log Output 框 中 将 看 到 HTTP 
报 文 的 详细 信息 。 
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这 wfetch — [Yfetchl] 
File Edit Vie Yindow Help 


Advanced 


Disablea -rT 


-Authentication (Commection 


oth: Jnonmons | Commect: 让 
了 Domain: Cipher default v 
w| >| 


Vser; Client |none 


4 
jrovlitery 后 


Connect: :Connect ("wiew. dean. swust. edu. cn”, "80")\n 
1F = “202.115. 160. 188:80"\n 
source port: 2108\r\n 
加 REQUEST. ttretttettenr#\n 
I GET / HITTP/L 1\r\n 
WD Host: ww dean. swust. edu cn\r\n 
I Accept: #/*\r\n 
I \r\n 
@ HTTP/1. 1 200 Ok\r\n 
图 Date: Thu, 12 Har 2015 14:37:01 MT\r\n 
@ Server: Apache/2.4.3 nix)\rin 
OLast-Modified: Thu, 28 Feb 2015 10:41:09 GHT\r\n 
图 ITag:“205-50ffb63cbadcdrvr\n 
图 Accept-Ranges: bytes\r\n 
图 Content-Length: 51T\rvn 


图 Content-Type: text/htnl\r\n 冯 据 
TT I EN IFttp: /fwww. w3. org/TR/xhtn 


图 2-6 WFetch 主 界面 


6. HTTPS 


HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer) 是 以 安全 为 目标 的 
HTTP 通道 。 它 由 Netscape 开发 并 内 置 于 其 浏览 器 中 ,用 于 对 数据 进行 压缩 和 解压 操作 ， 
并 返回 网 络 上 传送 回 的 结果 。 该 协议 通过 应 用 Netscape 的 安全 套 接 字 层 SSL 作为 HTTP 
应 用 层 的 子 层 ,充分 结合 并 利用 了 对 称 加 密 算 法 的 快速 性 与 非 对 称 密 钥 的 安全 性 ,在 Web 
服务 基础 传输 通道 HTTP 上 ,创造 性 地 运用 非 对 称 加 密 算法 .实现 了 对 称 加 密 密 钥 的 安全 
传输 ,从 而 保证 了 该 通道 内 数据 的 安全 性 和 机 密 性 。HTTPS 实现 了 以 下 几 方 面 。 

(1) 客户 端 与 服务 器 的 双向 身份 确认 

客户 端 与 服务 器 在 传输 HTTPS 数据 之 前 ,需要 对 双方 的 身份 进行 确认 ,确认 过 程 通 过 
交换 各 自 的 X. 509 数字 证 书 的 方式 实现 。 

(2) 保证 传输 数据 的 机 密 性 

客户 端 与 服务 器 在 传输 HTTPS 数据 之 前 ,需要 根据 非 对 称 加 密 算法 协商 传输 过 程 中 
所 需要 使 用 的 加 密 密 钥 ,并 在 随后 的 数据 传输 过 程 中 ,使 用 该 密 钥 进 行 对 称 加 密 。 

(3) 数据 的 完整 性 检验 

HTTPS 通过 信息 验证 码 的 方式 ,对 传输 数据 进行 数字 签名 ,因而 当 内 容 自 改 发 生 时 ， 
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由 于 对 应 Hash 值 的 改变 ,攻击 行为 会 被 发 现 。 

HTTPS 协议 在 通信 的 安全 性 方面 ,对 HTTP 协议 进行 了 一 定 程度 的 增强 ,基本 保证 
了 客户 端 与 服务 器 端的 通信 安全 ,所 以 被 广泛 用 于 互联 网 上 敏感 信息 的 通信 ,例如 网 上 银行 
账户 .电子 邮箱 账户 ,以 及 交易 支付 等 各 个 方面 。 


2.2.3 HTML 
1. HTML 简介 


HTML (Hyper Text Markup Language, 超 文本 标记 语言 ) 是 一 种 用 来 描述 网 页 的 标 
记 语言 。HTML 使 用 标记 标签 来 描述 网 页 , HTML 文档 包含 HTML 标签 和 纯 文本 。 
HTML 文档 也 被 称 为 网 页 , Web 浏览 器 的 作用 是 读 取 HTML 文档 ,并 以 网 页 的 形式 显示 
出 来 。 浏 览 器 不 会 显示 HTML 标签 ,而 是 使 用 标签 来 解释 页 面 的 内 容 。 


2. HTML 文档 结构 


一 个 完整 的 HTML 文件 由 标题 ` 段 落 、 表 格 和 文本 等 各 种 蔡 入 的 对 象 组 成 ,这 些 对 象 
统称 为 元 素 ,HTML 使 用 标记 来 分 隔 并 描述 这 些 元 素 。 整 个 HTML 文件 就 是 由 元 素 与 标 
记 组 成 的 。 下 面 是 一 个 HTML 文件 的 基本 结构 。 


<html > 文件 开始 标记 
<head> 文件 头 开始 的 标记 
; 文件 头 的 内 容 
</head> 文件 头 结束 的 标记 
<body> 文件 主体 开始 的 标记 
: 文件 主体 内 容 
</body> 文件 主体 结束 的 标记 
</html > 文件 结束 标记 


(1) 二 html 二 … 一 /html 二 : 告诉 浏览 器 HTML 文件 开始 和 结束 的 位 置 ,其 中 包括 
二 head 宝 和 二 body 二 标记 。HTML 文档 中 所 有 的 内 容 都 应 该 在 这 两 个 标记 之 间 , 一 个 
HTML 文档 总 是 以 二 html 二 开始 ,以 二 /html 二 结束 。 

(2) 过 head>…< 反 /head>: HTML 文件 的 头 部 标记 ,在 其 中 可 以 放置 页 面 的 标题 以 及 
文件 信息 等 内 容 ,通常 将 这 两 个 标签 之 间 的 内 容 统称 为 HTML 的 头 部 。 

(3) 过 body 二 … 所 /body 之 : 用 来 指明 文档 的 主体 区 域 ,网 页 所 要 显示 的 内 容 都 放 在 这 
个 标记 内 ,其 结束 标记 一 /body 之 指明 主体 区 域 的 结束 。 


3. HTML 元 素 和 标签 


HTML 标签 是 由 尖 括 号 包围 的 关键 词 , 例 如 过 html 之 。HTML 标签 通常 是 成 对 出 现 
的 ,例如 过 b 之 和 去 /之 。 标 签 对 中 的 第 一 个 标签 是 开始 标签 ,第 二 个 标签 是 结束 标签 。 
例如 : 

二 html 过 与 二 /html> 之 间 的 文本 描述 网 页 ; 

所 body> 与 一 /body> 之 间 的 文本 是 可 见 的 页 面 内 容 ; 
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<title> 与 二 /title 之 之 间 的 文本 被 显示 为 网 页 的 标题 内 容 ; 

二 hl> 与 二 /hl 之 之 间 的 文本 被 显示 为 标题 ; 

去 p> 与 所/p> 之 间 的 文本 被 显示 为 段落 。 

(1) 标题 

HTML 标题 (Heading) 是 通过 和 二 hl 之 一 过 h6 二 标签 进行 定义 的 。 作 为 标题 ,它们 的 重 
要 性 是 有 区 别 的 ,其 中 二 hl 二 标题 的 重要 性 最 高 ,二 h6 二 最 低 。 

标题 标记 ,由 过 hl 之 至 二 h6 之 变 粗 变 大 加 宽 的 程度 逐渐 减 小 。 每 个 标题 标记 所 标示 的 
字句 将 独占 一 行 且 上 下 留 一 空白 行 。 

(2) 段落 

HTML 段落 是 通过 过 p 二 进行 定义 的 , 即 二 p 过 为 段落 标记 ,其 作用 是 为 字 、` 画 、 表 格 等 
之 间 留 一 空白 行 。 本 来 二 p 之 是 一 围 堵 标记 , 标 于 一 段落 的 头 尾 ,但 从 HTML 2. 0 开始 已 不 
需要 一 /p 二 作 结 尾 。 二 p 二 常用 参数 align 一 "center" ,可 选 值 包括 right left center, 默 认 值 
为 align 一 "left" 。 

(3) 换行 

HTML 换行 是 通过 二 br 二 进行 定义 的 。 二 br 二 的 作用 是 在 不 另 起 一 段 的 情况 下 将 当 
前 文本 强制 换行 。 由 于 浏览 器 会 自动 忽略 原始 码 中 空白 和 换行 的 部 分 ,这 使 得 二 br 二 成 为 
最 常用 的 标记 之 一 。 因 为 无 论 您 在 原始 码 中 编 好 了 多 漂亮 的 文章 , 若 不 适当 地 加 上 换行 标 
记 或 段落 标记 ,浏览 器 只 会 将 它 显 示 成 一 大 段 。 

(4) 注释 

HTML 的 注释 语句 通过 一 !----- 二 来 定义 ,或 者 使 用 "二 comment 二 注释 内 容 
去 /comment>”, 如 志 ! -- 注 释 语 句 内 容 -->。 

(5) 链接 

HTML 链接 是 通过 二 a 二 标签 进行 定义 的 。 

Oz 文本 链接 


<html> 
<body> 
<p> 
<a href = "nextpage. htm"> Web 测试 </a> 
</p> 
<p> 
<a href = "http://www. microsoft. com/"> 微 软 官网 </a> 
</p> 
</body> 
</html > 


@ 图 片 链接 


<html> 
<body> 
<p> 
<a href = "homepage. htm">< img border = "0" src=".\images\login. gif"></a> 
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</p> 
</body> 
</html > 


@ 锚 点 链接 

HTML 使 用 错 标 签 ( 二 a 二 ) 来 创建 一 个 连接 到 其 他 文件 的 链接 。 锚 可 以 指向 网 络 上 的 
任何 资源 ,如 HTML 页 面 、 图 像 声 音 .影片 等 。 

先 定 义 锚 点 : 二 a name 一 "middle" 二 。 

再 创建 链接 : 二 a href 一 "# middle" 二 跳 到 中 间 二 /a>。 

标签 二 a 二 被 用 来 创建 一 个 链接 指向 的 锚 ,href 属性 用 来 指定 链接 到 的 地 址 , 锚 的 起 始 
标签 二 a 二 和 结束 标签 二 /a 二 中 间 的 部 分 将 被 显示 为 超级 链接 。 

(6) 图 像 

HTML 图 像 是 通过 过 img> 标 签 进行 定义 的 。 

一 img 过 的 一 般 参 数 设 定 如 二 img src 一 "logo. gif" width 一 100 height 一 100 hspace 一 5 
vspace=5 border=2 align= "top" alt 一 "Logo of PenPals Garden" lowsrc 一 "pre_logo. gif">。 

外 src 二 "logo. gif”: 图 片 来 源 , 接受. gif、.jpg 及 . png 格式 ,前 两 者 通行 已 久 ,后 者 从 
1996 年 开始 发 展 , 后 来 取代 前 两 者 。 若 图 片 文件 与 该 html 文件 同 处 一 目录 则 只 需 写 上 文 
件 名 称 ,否则 必须 加 上 正确 的 路 径 , 相 对 或 绝对 皆 可 。 

@ width 一 100 height 二 100 : 设 定 图 片 大 小 ,此 宽度 ,高度 一 般 采 用 pixels( 像 素 ) 作 单 
位 。 通 常 只 设 为 图 片 的 真实 大 小 以 免 失 真 , 若 要 改变 图 片 大 小 最 好 事先 使 用 图 像 编 辑 工具 
进行 编辑 。 

@@ hspace 一 5 vspace 一 5 : 设 定 图 片 边沿 空白 ,以 免 文 字 或 其 他 图 片 过 于 贴近 。hspace 
是 设 定 图 片 左 右 的 空间 ,vspace 则 是 设 定 图 片上 下 的 空间 ,一 般 采 用 pixels 作 单 位 。 

@ border 二 2 : 图 片 边框 厚度 。 

O@) align 二 "top”: 调整 图 片 旁边 文字 的 位 置 , 可 以 控制 文字 出 现在 图 片 的 上 方 . 中 间 、 
底 端 .左右 等 ,可 选 值 包括 top .middle bottom ,left right, 默 认为 bottom。Netscape 还 支持 
texttop, baseline,absmiddle,absbottom。texttop 表示 图 片 和 文字 靠 顶 线 对 齐 ,baseline 表 
示 图 片 对 齐 到 目前 文字 行 底线 值 , bsmiddle 表示 图 片 对 齐 到 目前 文字 行 绝对 中 央 ， 
absbottom 表示 图 片 对 齐 到 目前 文字 行 绝对 底部 。 

@ alt 二 "Logo of PenPal Garden”: 描述 该 图 形 的 文字 , 若 使 用 者 用 文字 浏览 器 ,由 于 
不 支持 图 片 ,这 些 文字 则 会 代替 图 片 而 被 显示 。 对 于 支持 图 片 显示 的 浏览 器 , 当 鼠 标 移 至 图 
片上 ,这 些 文字 也 会 显示 。 

@ lowsrc 一 "pre_logo. gif”: 设 定 先 显 示 低 像素 图 片 . 若 所 加 入 的 是 一 张 很 大 的 图 片 ， 
下 载 耗 时 很 长 ,这 张 低 像素 图 片 会 先 被 显示 。 

(7) 表格 

HTML 表格 是 通过 一 table> 标 签 进行 定义 的 。 

<table> 到 tr> 所 td 是 定义 表格 的 最 重要 的 标记 。< 到 table> 是 一 个 容器 标记 ,用 以 
声明 这 是 表格 而 且 其 他 表格 标记 只 能 在 它 的 范围 内 才 适 用 。 

< 一 tr 用 以 标示 表格 列 (row) 。 


第 2 章 ”Web 应 用 技术 


去 td> 用 以 标示 存储 格 (cellD) ,通常 二 td 二 标签 放 到 二 tr 二 标签 中 使 用 。 

二 table 的 参数 设 定 (常用 ) 例 如 : 二 table width 一 "400" border 一 "1" cellspacing 一 
"2" cellpadding ="2" align="CENTER" valign="TOP" background="myweb. gif" 
bgcolor=" # 0000FF ” bordercolor =" # FFOOFF" bordercolorlight = " # 00FF00" 
bordercolordark="#00FFFF"cols="2">。 

Q@ width 一 "400": 表格 宽度 ,接受 绝对 值 (如 80) 及 相对 值 (如 80%)。 

@ border 二 "1": 1 表示 显示 表格 边框 ,0 代表 不 显示 表格 边框 。 

@ cellspacing 一 "2": 表格 格 线 厚度 。 

@ cellpadding 二 "2": 文字 与 格 线 的 距离 。 

@@ align 一 "CENTER": 表格 的 摆 放 位 置 (水 平 ), 可 选 值 为 left、right、center。 

valign 一 "TOP" : 表格 内 单元 格 内 容 垂 直 摆 放 位 置 ,可 选 值 为 top、middle、bottom。 

@ background 一 "myweb. gif" : 表格 背景 图 纸 ,与 bgcolor 不 要 同 用 。 

@ bgcolor 二 "并 0000FF": 表格 底 色 ,与 background 不 要 同 用 。 

@ bordercolor 二 "#FF00FF": 表格 边框 颜色 。 

四 bordercolorlight 二 "#00FF00": 表格 边框 向 光 部 分 的 颜色 (只 适用 于 IE)。 

@@ bordercolordark 一 "#00FFFF": 表格 边框 背光 部 分 的 颜色 ,使 用 bordercolorlight 
或 bordercolordark 时 bordercolor 将 会 失效 (只 适用 于 IE) 。 

加 cols 一 "2"; 表格 栏 位 数目 ,只 是 让 浏览 器 在 下 载 表 格 时 先 画 出 整个 表格 而 已 。 

二 tr 二 的 参数 设 定 ( 常 用 ) 例 如 : 二 tr align 王 "RIGHT" valign 二 "MIDDLE" bgcolor 一 
"#0000FF" bordercolor="#FFOOFF" bordercolorlight=" #808080" bordercolordark= 
"#FF0000">。 

OO align 一 "RIGHT": 该 列 单元 格 内 容 水 平 摆 放 位 置 ,可 选 值 为 left、center,right。 

@ valign 一 "MIDDLE": 该 列 单元 格 内 容 垂直 摆 放 位 置 , 可 选 值 为 top middle ,bottom。 

@ bgcolor 一 " 井 0000FF" : 该 列 底 色 。 

@ bordercolor 二 "#1FF00FF": 该 列 边框 颜色 (只 适用 于 IE) 。 

@ bordercolorlight 一 " 井 808080": 该 列 边框 向 光 部 分 的 颜色 (只 适用 于 IE) 。 

@ bordercolordark 一 " 井 FF0000" : 该 列 边框 背光 部 分 的 颜色 ,使 用 bordercolorlight 或 
bordercolordark 时 bordercolor 将 会 失效 (只 适用 于 IE) 。 

< 一 td 二 的 参数 设 定 (常用 ) 例 如 : 二 td width 二 "48%" height 二 "400" colspan 一 "5" 
rowspan 一 "4"”align 一 "RIGHT"” valign="BOTTOM" bgcolor="#FFOOFF" bordercolor= 
"#808080" bordercolorlight 一 " 井 FF0000”bordercolordark 一 " 并 00FF00"”background 一 
"myweb. gif"> 。 

中 width 一 "48%": 该 存储 格 宽度 ,接受 绝对 值 ( 如 80) 及 相对 值 (如 80%)。 

@ height 一 "400": 该 存储 格 高 度 。 

@ colspan 二 "5": 该 存储 格 向 右 打 通 的 栏 数 。 

@ rowspan 王 "4": 该 存储 格 向 下 打通 的 列 数 。 

@ align 一 "RIGHT": 该 存储 格 内 内 容 水 平 摆 放 位 置 ,可 选 值 为 left、center、right。 

@ valign 一 "BOTTOM" : 该 存储 格 内 内 容 垂直 摆 放 位 置 , 可 选 值 为 top、middle、bottom。 

@ bgcolor 一 "#FFOOFF" : 该 存储 格 底 色 。 
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@ bordercolor 一 "# 808080" : 该 存储 格 边框 颜色 (只 适用 于 IE) 。 
@ bordercolorlight 二 " ##FF0000": 该 存储 格 边框 向 光 部 分 的 颜色 (只 适用 于 IE)。 
四 bordercolordark 一 "并 00FF00" : 该 存储 格 边框 背光 部 分 的 颜色 ,使 用 bordercolorlight 
或 bordercolordark 时 bordercolor 将 会 失效 (只 适用 于 IE) 。 
@@ background 一 "myweb. gif" : 该 存储 格 背景 图 片 ,与 bgcolor 任 选 其 一 。 
单元 表格 标记 示例 如 下 。 


<center> 

<table width= "60%" cellspacing = "0" cellpadding = "2" align = "center"> 
Er 

< td bgcolor =" #FFD2E9"> 第 一 行 第 一 栏 </td> 
< td bgcolor = " # FFDAB5"> 第 一 行 第 二 栏 </td> 
< td bgcolor =" #FFFFB5"> 第 一 行 第 三 栏 </td> 
</tr> 

<tr bgcolor = "#COCOCO"> 

<td> 第 二 行 第 一 栏 </td> 

< td> 第 二 行 第 二 栏 </td> 

<td> 第 二 行 第 三 栏 </td> 

</tr> 

</table> 

</center > 


带 表 头 的 单元 表格 示例 如 下 。 


< center > 

< table width= "350" border = "1" cellspacing = "0" cellpadding = "2" align = "center"> 
<tr align = "center"> 

<th> Month</th><th> of IE visitor </th><th>% of NC visitor </th> </tr> 
<tralign= "center"> 

<td> Mugust </td><td>61%</td><td>39%</td> 

</tr> 

<tralign= "center"> 

<td>July</td><td>54%</td><td>46% </td> 

</tr> 

<tr align= "center"> 

<td>June</td><td>52%</td><td> 48% </td> 

</tr> 

</table> 

</center> 


显示 结果 如 表 2-7 所 示 。 
表 2-7 带 表 头 的 单元 表格 示例 


Month % of IE visitor % of NC visitor 
August 61% 39% 
July 54% 46% 


June 52% 48% 
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(8) 表单 

HTML 表单 通过 二 form 请 元 素 定义 。 二 form 访 元 素 里 面 可 以 包含 各 种 其 他 元 素 ,如 有 段 
落 、 表 格 和 图 像 等 。 

a， 文本 输入 框 

文字 输入 列 的 形态 就 是 type 二 "text" ,其 可 设 定 的 属性 如 下 。 

name 一 "名 称 " ,是 设 定 此 栏 位 的 名 称 , 程 序 中 常会 用 到 。 

size 一 "数值 ", 是 设 定 此 栏 位 显现 的 宽度 。 

value 一 " 预 设 内 容 " ,是 设 定 此 栏 位 的 预 设 内 容 。 

align 一 "对 齐 方式 " ,是 设 定 此 栏 位 的 对 齐 方式 ,其 值 有 top( 向 上 对 齐 ) .middle( 向 中 对 
齐 ) .bottom( 向 下 对 齐 ) right( 向 右 对 齐 ) left( 向 左 对 齐 ) ,texttop (向 文字 顶部 对 齐 )、 
baseline( 向 文字 底部 对 齐 ) .absmiddle( 绝 对 置 中 ) ,absbottom( 绝 对 置 下 ) 等 。 

maxlength 一 "数值 ", 是 设 定 此 栏 位 可 设 定 输入 的 最 大 长 度 。 

@ 单 选 按钮 

利用 type 二 "radio" 就 会 产生 单 选 按钮 。 单 选 按钮 通常 是 多 个 选项 一 起 显示 出 来 供 使 
用 者 点 选 ,一 次 只 能 从 中 选 一 个 , 故 称 为 单 选 按 钮 。 其 可 设 定 的 属性 如 下 。 

name 一 "名 称 ", 是 设 定 此 栏 位 的 名 称 ,程序 中 常会 用 到 。 

value 一 "内 容 ", 是 设 定 此 栏 位 的 内 容 、 值 或 是 意义 。 

align 一 "对 齐 方式 ", 是 设 定 此 栏 位 的 对 齐 方式 ,其 值 有 top( 向 上 对 齐 ) .middle( 向 中 对 
齐 )、bottom( 向 下 对 齐 )、right( 向 右 对 齐 )、left( 向 左 对 齐 )、texttop (向 文字 顶部 对 齐 )、 
baseline( 向 文字 底部 对 齐 ) ,absmiddle( 绝 对 置 中 ) .absbottom( 绝 对 置 下 ) 等 。 

checked, 是 设 定 此 栏 位 为 预 设 选取 值 。 

@ 复 选 框 

利用 type 一” checkbox "就 会 产生 复 选 框 。 复 选 框 通常 是 多 个 选项 一 起 显示 出 来 供 使 
用 者 选择 ,一 次 可 以 同时 选 几 个 , 故 称 为 复 选 框 。 其 可 设 定 的 属性 如 下 。 

name 一 "名 称 " ,是 设 定 此 栏 位 的 名 称 , 程 序 中 常会 用 到 。 

value 一 "内 容 " ,是 设 定 此 栏 位 的 内 容 、 值 或 是 意义 。 

align 一 "对 齐 方式 " ,是 设 定 此 栏 位 的 对 齐 方式 ,其 值 有 top( 向 上 对 齐 ) .middle( 向 中 对 
齐 ) .bottom( 向 下 对 齐 ) .right( 向 右 对 齐 ) left( 向 左 对 齐 ) ,texttop( 向 文字 顶部 对 齐 )、 
baseline( 向 文字 底部 对 齐 ) ,absmiddle( 绝 对 置 中 ) .absbottom( 绝 对 置 下 ) 等 。 

checked, 是 设 定 此 栏 位 为 预 设 选 取 值 。 

@ 密码 表单 

利用 type 王 ”password "就 会 产生 一 个 密码 表单 ,密码 表单 和 文字 输入 表单 外 观 几乎 
一 样 ,差别 就 在 于 密码 表单 在 输入 时 全 部 会 以 黑 点 或 星 号 来 取代 输入 的 文字 ,对 输入 的 密码 
进行 安全 保护 。 其 可 设 定 的 属性 如 下 。 

name 一 "名 称 " ,是 设 定 此 栏 位 的 名 称 ,程序 中 常会 用 到 。 

size 一 "数值 " ,是 设 定 此 栏 位 显现 的 宽度 。 

value 一 " 预 设 内 容 ", 是 设 定 此 栏 位 的 预 设 内 容 , 不 过 呈现 出 来 仍 是 星 号 。 

align 一 "对 齐 方式 ", 是 设 定 此 栏 位 的 对 齐 方式 ,其 值 有 top( 向 上 对 齐 ) .middle( 向 中 对 
齐 ) .bottom( 向 下 对 齐 ) .right( 向 右 对 齐 ) ,left( 向 左 对 齐 ) texttop (向 文字 顶部 对 齐 )、 
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baseline( 向 文字 底部 对 齐 ) .absmiddle( 绝 对 置 中 ) .absbottom( 绝 对 置 下 ) 等 。 

maxlength 一 "数值 " ,是 设 定 此 栏 位 可 输入 的 最 大 长 度 。 

@ 送出 按钮 

通常 表单 填 完 之 后 ,都 会 有 一 个 送出 按钮 以 及 清除 重 写 的 按钮 ,分 别 利 用 type 二 
"submit "及 type 一 ”reset "来 产生 ,其 可 设 定 的 属性 如 下 。 

name 一 "名 称 " ,是 设 定 此 按钮 的 名 称 。 

value 一 "文字 " ,是 设 定 此 按钮 上 要 呈现 的 文字 , 若 没 有 设 定 ,浏览 器 也 会 自动 加 上 " 送 
出 查询 "、" 重 设 "等 字样 。 

align 一 "对 齐 方式 " ,是 设 定 此 栏 位 的 对 齐 方式 ,其 值 有 top( 向 上 对 齐 ) .middle( 向 中 对 
齐 ) .bottom( 向 下 对 齐 ) right( 向 右 对 齐 ) left( 向 左 对 齐 ) ,texttop (向 文字 顶部 对 齐 )、 
baseline( 向 文字 底部 对 齐 ) .absmiddle( 绝 对 置 中 ) .absbottom( 绝 对 置 下 ) 等 。 

@ 多 行文 本 输入 框 

有 时 候 用 户 需 要 输入 大 量 的 文字 ,此 时 可 以 利用 二 textarea 二 /textarea 一 来 产生 一 个 
可 以 输入 大 量 文字 的 元 件 , 其 可 设 定 的 属性 如 下 。 

name 王 "名 称 " ,是 设 定 此 栏 位 的 名 称 。 

wrap 一 " 设 定 值 ", 是 设 定 此 栏 位 的 换行 模式 。 设 定 值 有 三 种 : off( 输 入 文字 不 会 自动 
换行 ) .virtual( 输 入 文字 在 屏幕 上 会 自动 换行 ,不 过 若是 用 户 没有 自行 按 下 Enter 换行 , 送 
出 资料 时 ,也 视 为 没有 换行 ).physical( 输 入 文字 会 自动 换行 ,送出 资料 时 ,会 将 屏幕 上 的 自 
动 换行 , 视 为 换行 效果 送出 ) 。 

cols 一 "数值 ", 是 设 定 此 栏 位 的 行 数 (横向 字数 ) 。 

rows 一 "数值 " ,是 设 定 此 栏 位 的 列 数 (垂直 字数 ) 。 

@ 〇 下 拉 式 选单 

利用 一 select name 一 "名 称 " 盖 可 以 产生 一 个 下 拉 式 选单 。 另 外 ,还 需要 配合 一 option 二 标 
签 来 产生 选项 ,其 可 设 定 的 属性 如 下 。 

size 一 "数值 " ,是 设 定 此 栏 位 的 大 小 , 预 设 值 为 1。 若 是 选项 有 4 个 , 则 将 size 设 成 4, 那 
么 下 拉 式 选单 便 会 变 成 选项 方块 ,将 4 个 选项 一 起 呈现 在 方块 中 。 

multiple, 是 设 定 此 栏 位 为 复 选 , 可 以 一 次 选 多 个 选项 。 


4. HTML 与 JavaScript 


JavaScript 常用 来 给 HTML 网 页 添加 动态 功能 ,例如 响应 用 户 的 各 种 操作 。 
JavaScript 与 HTML 代码 结合 在 一 起 .通过 浏览 器 解释 执行 。 在 HTML 页 面 中 JavaScript 
的 执行 环节 依赖 于 浏览 器 本 身 , 只 要 安装 了 支持 JavaScript 的 浏览 器 ,JavaScript 代码 就 可 
以 执行 。 

5. DHTML 


DHTML(Dynamic HTML), 即 动态 HTML。1997 年 ,Microsoft 发 布 了 IE 4.0, 并 将 
动态 HTML 标记 、 级 联 样式 表 (CSS) 和 动态 对 象 (Dynamic Object Model) 发 展 成 为 一 套 完 
整 、 实 用 、 高 效 的 客户 端 开发 技术 体系 ,用 于 构建 动态 的 、 交 互 式 的 Web 页 。 同 样 是 实现 
HTML 页 面 的 动态 效果 ,DHTML 技术 无 须 启 动 Java 虚拟 机 或 其 他 脚本 环境 ,可 以 在 浏览 
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器 的 支持 下 ,获得 更 好 的 展现 效果 和 更 高 的 执行 效率 。 
2.2.4 XML 
1. XML 简介 


XML(Extensible Markup Language, 可 扩展 标记 语言 ) 是 标准 通用 标记 语言 的 子 集 ,用 
于 标记 电子 文件 使 其 具有 结构 性 的 标记 语言 ,可 以 用 来 标记 数据 .定义 数据 类 型 ,是 一 种 允 
许 用 户 对 自己 的 标记 语言 进行 定义 的 源 语言 。XML 非常 适合 Web 传输 , 它 提供 统一 的 方 
法 来 描述 和 交换 独立 于 应 用 程序 或 供应 商 的 结构 化 数据 。 XML 是 万 维 网 联盟 (World 
Wide Web Consortium,W3C) 的 推荐 标准 。 

XML 与 Access、Oracle 和 SQL Server 等 数据 库 不 同 , 数 据 库 提供 了 更 强 有 力 的 数据 
存储 和 分 析 能 力 ,例如 数据 索引 、 排 序 、 查 找 、 相 关 一 致 性 等 ,XML 仅仅 是 存储 数据 。XML 
与 其 他 数据 表现 形式 最 大 的 不 同 是 : 它 极其 简单 。XML 的 简单 使 其 易于 在 任何 应 用 程序 
中 读 写 数据 , 这 使 XML 很 快 成 为 数据 交换 的 唯一 公共 语言 。XML 使 程序 可 以 与 
Windows、Mac OS、Linux 以 及 其 他 平台 下 产生 的 信息 结合 ,可 以 加 载 XML 数据 到 程序 中 
并 分 析 它 ,并 以 XML 格式 输出 结果 。 

XML 与 HTML 的 设计 区 别 是 : XML 被 设计 为 传输 和 存储 数据 ,其 焦点 是 数据 的 内 
容 。 而 HTML 被 设计 用 来 显示 数据 ,其 焦点 是 数据 的 外 观 。HTML 旨 在 显示 信息 ,而 
XML 旨 在 传输 信息 。 

XML 和 HTML 语法 区 别 : HTML 的 标记 不 是 所 有 都 需要 成 对 出 现 ,XML 则 要 求 所 
有 的 标记 必须 成 对 出 现 ; HTML 标记 不 区 分 大 小 写 ,XML 则 大 小 敏感 , 即 区 分 大 小 写 。 


2. XML 的 作用 


(1) XML 把 数据 从 HTML 分 离 

如 果 需 要 在 HTML 文档 中 显示 动态 数据 ,那么 每 当 数据 改变 时 将 花费 大 量 的 时 间 来 
编辑 HTML。 通 过 XML ,数据 能 够 存储 在 独立 的 XML 文件 中 。 这 样 就 可 以 专注 于 使 用 
HTML 进行 布局 和 显示 ,并 确保 修改 底层 数据 不 再 需要 对 HTML 进行 任何 的 改变 。 
通过 使 用 几 行 JavaScript 就 可 以 读 取 一 个 外 部 XML 文件 ,然后 更 新 HTML 中 的 数据 
内 容 。 

(2) XML 简化 数据 共享 

XML 数据 以 纯 文本 格式 进行 存储 ,因此 提供 了 一 种 独立 于 软件 和 硬件 的 数据 存储 方 
法 。 这 让 创建 不 同 应 用 程序 可 以 共享 的 数据 变 得 更 加 容易 。 

(3) XML 简化 数据 传输 

通过 XML, 可 以 在 不 兼容 的 系统 之 间 轻 松 地 交换 数据 。 对 于 开发 人 员 来 说 ,其 中 一 项 
最 费时 的 挑战 就 是 在 因特网 上 的 不 兼容 系统 之 间 交 换 数 据 。 由 于 可 以 通过 各 种 不 兼容 的 应 
用 程序 来 读 取 数 据 , 通 过 XML 交换 数据 降低 了 这 种 复杂 性 。 

(4) XML 简化 跨 平台 操作 

升级 到 新 的 系统 (硬件 或 软件 平台 ) .总 是 非常 费时 的 。 必 须 转 换 大 量 的 数据 ,而 且 不 兼 
容 的 数据 经 常会 丢失 。XML 数据 以 文本 格式 存储 。 这 使 得 XML 在 不 损失 数据 的 情况 下 ， 
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更 容易 扩展 或 升级 到 新 的 操作 系统 、 新 的 应 用 程序 或 新 的 浏览 器 。 

(5) XML 使 数据 更 有 用 

由 于 XML 独立 于 硬件 .软件 以 及 应 用 程序 .XML 使 数据 更 可 用 ,也 更 有 用 。 不 同 的 应 
用 程序 都 能 够 访问 其 中 的 数据 ,不 仅仅 在 HTML 页 中 ,也 可 以 从 XML 数据 源 中 进行 访问 。 
通过 XML ,数据 可 供 各 种 阅读 设备 使 用 (手持 的 计算 机 、 语 音 设备 .新 闻 阅 读 器 等 ), 还 可 以 
供 盲人 或 其 他 残障 人 士 使 用 。 


3. XML 文档 结构 


XML 文档 形成 了 一 种 树 结构 , 它 从 * 根 部 "开始 ,然后 扩展 到 * 枝 叶 ”, 并 扩展 到 树 的 最 
底 端 。XML 文档 必须 包含 根 元 素 ,该 元 素 是 所 有 其 他 元 素 的 父 元 素 。 
所 有 元 素 均 可 拥有 子 元 素 ,其 结构 如 下 。 


< root> 
<child> 
< subchild>…</subchild> 
</child> 
</root > 


父 、 子 以 及 同胞 等 术语 用 于 描述 元 素 之 间 的 关系 。 父 元 素 拥有 子 元 素 。 相 同 层级 上 的 
子 元 素 成 为 同胞 (兄弟 或 姐妹 )。 所 有 元 素 均 可 拥有 文本 内 容 和 属性 (类 似 HTML 中 )。 


4. XML 语法 规则 


(1) 所 有 XML 元 素 都 要 有 关闭 标签 
在 XML 中 ,省 略 关闭 标签 是 非法 的 ,所 有 元 素 都 必须 有 关闭 标签 。 


<?xml version = "1.0" encoding = "ISO 一 8859 —1"?> 
< publicationdate> 2010 - 6- 10 </publicationdate> 


(2) XML 标签 对 大 小 写 敏 感 

XML 元 素 使 用 XML 标签 进行 定义 。XML 标签 对 大 小 写 敏 感 。 在 XML 中 ,标签 
去 Letter 盖 与 标签 二 letter 之 是 不 同 的 。 必 须 使 用 相同 的 大 小 写 来 编写 打开 标签 和 关闭 
标签 。 


<?xml version = "1.0" encoding = "ISO0— 8859 —1"?> 
<Letter > 这 是 错误 的 .</letter> 
< letter > 这 是 正确 的 .</letter > 


(3) XML 必须 正确 地 嵌 套 

标签 必须 按 合适 的 顺序 进行 嵌 套 ,所 以 结束 标签 必须 按 镜像 顺序 匹配 起 始 标签 。 这 好 
比 将 起 始 和 结束 标签 看 作 是 数学 中 的 左右 括号 ,在 没有 关闭 所 有 的 内 部 括号 之 前 ,是 不 能 关 
闭 外 面 的 括号 的 。 
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<?xm]l version= "1.0" encoding = "ISO 一 8859 —1"?> 
< letter ><b> 这 是 错误 的 .</letter ></b> 
< letter ><b> 这 是 正确 的 .</b></letter> 


(4) XML 文档 必须 有 根 元 素 
XML 文档 中 必须 有 一 个 元 素 是 所 有 其 他 元 素 的 父 元 素 ,该 元 素 称 为 根 元 素 。 


<?xml version = "1.0" encoding = "ISO 一 8859 - 1"?> 
<root> 
<child> 
< subchild>...</subchild> 
</child> 
</root > 


(5) XML 的 属性 值 要 加 引号 
与 HTML 类 似 ,XML 也 可 拥有 属性 (名 称 和 值 )。 在 XML 中 ,XML 的 属性 值 必须 加 
引号 。 下 面 的 两 个 XML 文档 ,第 一 个 是 错误 的 ,第 二 个 是 正确 的 。 


<?xml version = "1.0" encoding = "IS0— 8859 — 1"?> 
< book date = 06/08/2010> 

<title> XML Study </title> 

< author > Jacky </author > 

</book > 


<?xml version = "1.0" encoding = "ISO 一 8859 —1"?> 
< book date = "06/08/2010"> 

<title> XML Study </title> 

< author > Jacky </author > 

</book > 


(6) XML 中 的 注释 
在 XML 中 编写 注释 的 语法 与 HTML 的 语法 很 相似 。 


<?xml version = "1.0" encoding = "ISO 一 8859 - 1"?> 
< book date = "06/08/2010"> 

<! -- this is comments line 一 一 > 

<title> XML Study </title> 

< author > Jacky </author> 

</book> 


这 些 规则 使 得 开发 一 个 XML 解析 器 十 分 简便 ,而 且 也 去 除了 解析 标准 通用 标记 语 
言 中 复杂 语法 规则 的 工作 。 仅 仅 在 XML 出 现 后 的 6 年 内 就 衍生 出 多 种 不 同 的 语言 , 包 
括 MathML、SVG、RDF、RSS、SOAP、XSLT、XSL-FO, 而 同时 也 将 HTML 改进 为 
XHTML。 
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5. XML 文档 实例 


<?xml version = "1.0" encoding = "IS0— 8859—1"?> 
<book> 

<title> XML Study </title> 

<author > Jacky </author > 

<press> Tsinghua University Publishing </press> 

< publicationdate > 2010 - 06 - 08 </publicationdate > 
</book > 


第 一 行 是 XML 声明 , 它 定义 XML 的 版 本 (1.0) 和 所 使 用 的 编码 (ISO-8859-1 二 Latin-1/ 
西欧 字符 集 )。 下 一 行 描述 文档 的 根 元 素 (意思 在 说 :“ 本 文档 是 一 个 便签 ”) 二 book 二 >。 接 
下 来 4 行 描 述 根 的 4 个子 元 素 (title、author、press 以 及 publicationdate)。 最 后 一 行 定义 根 
元 素 的 结尾 二 /book 之 。 从 本 例 可 以 设想 ,该 XML 文档 包含 了 一 本 书 的 基本 信息 (包含 书 
名 、 作 者 .出 版 社 、 发 行 日 期 ) 。 


2.2.5 客户 端 脚本 语言 


脚本 语言 是 为 了 缩短 传统 的 编写 一 编译 一 链接 一 运行 过 程 而 创建 的 计算 机 编程 语言 。 
它 通 常 是 在 运行 时 由 一 个 运行 时 组 件 解释 语言 代码 并 执行 其 中 包含 的 指令 ,而 非 通过 编译 
的 方式 执行 。 

对 于 一 个 Web 应 用 程序 来 说 ,核心 的 内 容 就 是 处 理 用 户 的 输入 ,根据 不 同 的 用 户 输 入 
产生 灵活 的 输出 。 由 于 脚本 具有 良好 的 灵活 性 ,因此 被 广泛 地 运用 到 Web 开发 之 中 。 在 
Web 脚本 技术 中 , 既 有 用 于 客户 端的 脚本 ,如 JavaScript; 也 有 用 于 服务 器 端 脚本 ,如 ASP、 
PHP、Perl; 还 有 用 于 数据 库 的 脚本 ,如 SQL 等 。 


1. JavaScript 


JavaScript 是 一 种 基于 对 象 和 事件 驱动 并 具有 相对 安全 性 的 客户 端 脚 本 语言 ,常用 来 
给 HTML 网 页 添加 动态 功能 ,例如 响应 用 户 的 各 种 操作 。 它 最 初 由 网 景 公 司 (Netscape) 的 
Brendan Eich 设计 ,是 一 种 动态 、 弱 类 型 .基于 原型 的 语言 ,内 置 支持 类 。JavaScript 是 Sun 
公司 的 注册 商标 。Ecma 国际 以 JavaScript 为 基础 制定 了 ECMAScript 标准 。JavaScript 也 
可 以 用 于 其 他 场合 ,如 服务 器 端 编程 。 完 整 的 JavaScript 实现 包含 三 个 部 分 : 
ECMAScript, 文 档 对 象 模型 . 字 节 顺序 记号 。 

JavaScript 是 客户 端 脚本 语言 。JavaScript 源 代码 在 发 往 客 户 端 运行 之 前 不 需 经 过 编 
译 ,而 是 将 文本 格式 的 字符 代码 发 送 给 浏览 器 由 浏览 器 解释 运行 。 解 释 语 言 的 弱点 是 安全 
性 较 差 , 而 且 在 JavaScript 中 ,如 果 一 条 语句 运行 不 了 ,那么 下 面 的 语句 也 无 法 运行 。 而 且 
由 于 每 次 重新 加 载 都 会 重新 解释 ,加载 后 ,有 些 代 码 会 延迟 到 运行 时 才 解 释 , 甚 至 会 多 次 解 
释 , 所 以 速度 较 慢 。 随 着 服务 器 的 强壮 ,虽然 程序 员 更 喜欢 运行 于 服务 端的 脚本 以 保证 安 
全 ,但 JavaScript 仍然 以 其 跨 平 台 .容易 上 手 等 优势 大 行 其 道 。 

Javascript 程序 是 纯 文 本 的 , 且 不 需要 编译 ,所 以 任何 纯 文 本 的 编辑 器 都 可 以 编辑 
Javascript 文件 。 
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HTML 的 任意 位 置 都 可 以 引入 JavaScript, 可 以 直接 在 HTML 文档 中 书写 JavaScript 
代码 。 
例如 : 


< script language = "javascript"> 
<1=- 


(JavaScript 代码 ) 


A 


</script> 


document. write() 是 文档 对 象 的 输出 函数 ,其 功能 是 将 括号 中 的 字符 或 变量 值 输出 到 
窗口 ; document，close() 是 将 输出 关闭 。 


2. VBScript 


VBScript 是 Visual Basic Script 的 简称 , 即 Visual Basic 脚本 语言 ,有 时 缩写 为 VBS。 
VBScript 是 微软 开发 的 一 种 解析 型 的 服务 端 (也 支持 客户 端 ) 脚 本 语言 ,可 以 看 作 是 VB 语 
言 的 简化 版 ,与 VBA(Visual Basic for Applications, Visual Basic 的 一 种 宏 语 言 ) 的 关系 也 
非常 密切 。VBScript 是 ASP 动态 网 页 默认 的 编程 语言 ,配合 ASP 内 建 对 象 和 ADO 对象 ， 
用 户 很 快 就 能 掌握 访问 数据 库 的 ASP 动态 网 页 开发 技术 。 

由 于 VBScript 可 以 通过 Windows 脚本 宿主 调用 COM, 因 而 可 以 使 用 Windows 操作 
系统 中 可 以 被 使 用 的 程序 库 , 例 如 可 以 使 用 Microsoft Office 的 库 , 尤 其 是 使 用 Microsoft 
Access 和 Microsoft SQL Server 的 程序 库 , 当然 也 可 以 使 用 其 他 程序 和 操作 系统 本 身 
的 库 。 

VBScript 最 大 的 优点 在 于 简单 易学 , 它 去 掉 了 Visual Basic 中 使 用 的 大 多 数 关键 字 ,而 
仅 保 留 了 其 中 少量 的 关键 字 , 大 大 简化 了 Visual Basic 的 语法 ,使 得 这 种 脚本 语言 更 加 易学 
易 用 ,也 为 原先 熟悉 VB 语言 的 开发 人 员 减 轻 了 学 习 其 他 语言 的 负担 。 但 很 多 浏览 器 不 支 
持 VBS, 因 此 在 Web 开发 中 使 用 JavaScript 的 居多 。 


2.2.6 动态 网 页 技术 
1. ASP 


ASP(Active Server Page) 又 称 为 动态 服务 器 页 面 ,是 微软 公司 1996 年 11 月 推出 的 
Web 应 用 程序 开发 技术 。 它 既 不 是 一 种 程序 语言 ,也 不 是 一 种 开发 工具 ,而 是 一 种 技术 框 
架 , 它 含有 若干 内 建 对 象 ,用 于 Web 服务 器 端的 开发 。 利 用 它 可 以 产生 和 执行 动态 的 、 互 动 
的 和 高 性 能 的 Web 服务 应 用 程序 。ASP 使 用 VBScript JavaScript 等 简单 易 懂 的 脚本 语 
言 ,结合 HTML 代码 ,可 快速 地 完成 网 站 的 应 用 程序 开发 。 使 用 ASP 开发 出 来 的 Web 应 
用 程序 ,文件 后 缀 一 般 是 . asp。ASP 可 以 视 为 HTML、Script 及 CGI 的 结合 体 ,其 程序 编写 
比 HTML 更 为 方便 灵活 ,程序 的 安全 保密 性 比 Script 好 ,运行 效率 也 比 CGI 高 。 

ASP 具有 下 列 特点 。 


63 


SG 


Web 应 用 程序 测试 


(1) 开放 性 

ASP 的 开放 性 表现 在 并 不 需要 程序 开发 者 使 用 一 个 专用 的 脚本 语言 来 生成 网 络 应 用 
程序 ,ASP 包括 对 VBScript 和 JavaScript 的 本 机 支持 。 多 个 脚本 语言 甚至 可 以 在 相同 的 
ASP 文件 中 同时 使 用 并 相互 调用 。ASP 支持 ActiveX 组 件 ,这 些 组 件 实际 上 可 以 用 任何 语 
言 编写 ,包括 Java、Visual Basic`C++ .COBOL 等 。 

(2) 易 操作 性 

ASP 使 Web 应 用 开发 人 员 可 以 在 服务 器 上 方便 地 “激活 ”页 面 ,可 以 方便 地 将 网 页 与 
应 用 程序 连接 起 来 ,以 实现 高 级 功能 。 以 前 使 用 Peri 或 C 编写 复杂 的 CGI 程序 来 完成 的 功 
能 (如 数据 库 连接 ) ,使 用 ASP 只 需 几 行 简单 的 代码 就 可 以 完成 。 

(3) 页 面 设计 与 程序 设计 分 离 

通过 使 用 脚本 和 组 件 ,ASP 允许 开发 人 员 将 编程 工作 与 页 面 设 计 工 作 分 离开 来 ,分 别 
加 以 完成 。 这 样 就 可 以 确保 程序 开发 者 将 主要 的 精力 用 来 考虑 编写 程序 的 逻辑 ,而 不 必 担 
心 外 观 是 怎样 的 。 同 时 , 它 也 使 从 事 页 面 外 观 设 计 的 人 员 可 以 利用 一 些 工具 来 对 网 页 进行 
修改 ,而 不 必 考 虑 编程 的 问题 。ASP 可 以 方便 地 将 程序 逻辑 与 页 面 设 计 结 合 起 来 。 

(4) 即时 编译 

ASP 具有 一 个 即时 编译 系统 。 在 收 到 对 ASP 文件 的 请 求 时 ,编译 系统 自动 对 ASP 文 
件 进行 重新 编译 ,并 将 其 载 和 人 服务 器 的 高 速 缓存 中 。 因 此 ,系统 开发 者 对 ASP 文件 的 修改 
可 以 在 浏览 器 中 立即 得 到 反应 ,只 需 简单 地 保存 该 文件 并 在 浏览 器 中 刷新 即 可 。 这 样 大 大 
提高 了 调试 程序 的 效率 ,从 而 提高 系统 开发 的 效率 。 

(5) 浏览 器 独立 性 

ASP 运行 在 服务 器 端 ,接受 来 自 浏 览 器 的 请 求 ,在 服务 器 端 运行 用 于 生成 动态 内 容 及 
操作 数据 库 的 脚本 ,所 有 的 处 理 都 在 服务 器 端 进行 ,然后 向 浏览 器 返回 标准 的 HTML 文 
件 , 所 以 ,不 必 担 心 用 户 用 什么 样 的 浏览 器 来 访问 站 点 。 

2002 年 ,微软 推出 了 ASP. NET。ASP. NET 完全 基于 模块 与 组 件 , 具 有 更 好 的 可 扩展 
性 与 可 定制 性 ,数据 处 理 方面 更 是 引入 了 许多 激动 人 心 的 新 技术 , 正 是 这 些 具有 革命 性 意义 
的 新 特性 ,让 ASP. NET 远 远 超越 了 ASP, 同 时 也 提供 给 Web 开发 人 员 更 好 的 灵活 性 ,有 
效 缩短 了 Web 应 用 程序 的 开发 周期 。ASP. NET 与 Windows Server 家 族 的 完美 组 合 为 中 
小 型 乃至 企业 级 的 Web 商业 模型 提供 了 一 个 更 为 稳定 、 高 效 、 安 全 的 运行 环境 。 


2. PHP 


PHP(Hypertext Preprocessor, 超 文本 预 处 理 器 ) 是 一 种 通用 开源 脚本 语言 ,其 语法 吸 
收 了 C 语言 Java 和 Perl 的 特点 ,易于 学 习 , 使 用 广泛 ,主要 适用 于 Web 开发 领域 。 PHP 
的 文件 后 缀 名 为 *. php。 

虽然 PHP 的 语法 简单 ,但 功能 却 十 分 强大 , 自 其 诞生 以 来 , 便 迅速 得 到 了 广泛 使 
用 。 在 文件 操作 、 网 络 协议 使 用 、 数 据 库 支持 上 .PHP 语 言 有 着 独特 全 面 的 开发 函数 接 
口 。 此 外 ,PHP 具有 良好 的 多 平台 兼容 性 ,可 以 在 UNIX、Linux 及 Windows 平 台 下 正 
常 使 用 。 

PHP 具有 下 列 特性 。 

(1) PHP 独特 的 语法 混合 了 C、Java、Perl 以 及 PHP 自 创 新 的 语法 。 
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(2) PHP 可 以 比 CGI 或 者 Perl 更 快速 地 执行 动态 网 页 。 与 其 他 的 编程 语言 相 比 ， 
PHP 是 将 程序 戏 和 到 HTML 文档 中 去 执行 ,执行 效率 比 完全 生成 HTML 标记 的 CGI 要 
高 许多 。PHP 具有 非常 强大 的 功能 ,所 有 CGI 的 功能 PHP 都 能 实现 。 

(3) PHP 支持 几乎 所 有 流行 的 数据 库 以 及 操作 系统 。 

(4) 最 重要 的 是 PHP 可 以 用 C、C++ 进 行程 序 的 扩展 。 


3. JSP 


JSP(Java Server Page) 是 由 Sun 公司 于 1999 年 推出 的 一 项 因特网 应 用 开发 技术 ,是 基 
于 Java Servlet 以 及 整个 Java 体系 的 Web 开发 技术 。 利 用 这 一 技术 可 以 建立 先进 、 安 全 和 
跨 平台 的 动态 网 站 。JSP 技术 是 以 Java 语言 作为 脚本 语言 的 ,使 用 JSP 标识 或 者 Java 
Servlet 脚本 来 生成 页 面 上 的 动态 内 容 。 

在 传统 的 网 页 HTML 文件 (x . htm, * . html) 中 加 入 Java 程序 片段 (Scriptlet) 和 JSP 
标签 ,就 构成 了 JSP 网 页 。 搬 和 的 Java 程序 片段 可 以 操作 数据 库 ( 通 过 JDBC 技术 连接 数 
据 库 ) 、 重 新 定向 网 页 以 及 发 送 E-mail 等 ,实现 建立 动态 网 站 所 需要 的 功能 。 

JSP 与 Servlet 一 样 ,是 在 服务 器 端 执行 的 。 服 务 器 端的 JSP 引擎 解释 JSP 标识 和 小 脚 
本 ,生成 所 请 求 的 内 容 , 并 且 将 结果 以 HTML 页 面 形式 发 送 回 浏览 器 。 由 于 所 有 程序 操作 
都 在 服务 器 端 执行 ,网 络 上 传送 给 客户 端的 仅 是 得 到 的 结果 ,这 样 大 大 降低 了 对 客户 浏览 器 
的 要 求 , 即 使 客户 浏览 器 端 不 支持 Java, 也 可 以 访问 JSP 网 页 。 因 此 ,JSP 适用 于 需要 考虑 
跨 平 台 移植 的 应 用 项 目 以 及 需要 高 可 靠 性 的 Internet/Intranet 应 用 系统 。 

JSP 具备 了 Java 技术 的 简单 易 用 ,完全 面向 对 象 ,与 平台 无 关 性 且 安 全 可 靠 的 特点 。 

自 JSP 推出 后 ,众多 大 公司 都 支持 JSP 技术 的 服务 器 ,如 IBM、Oracle、Bea 公司 等 ,所 
以 JSP 迅速 成 为 商业 应 用 的 服务 器 端 语言 。 


4. CGI 


CGICCommon Gateway Interface, 公 共 网 关 接口 ) 是 WWW 技术 中 最 重要 的 技术 之 一 。 
CGI 是 一 段 程序 ,运行 在 服务 器 上 ,提供 同 客户 端 HTML 页 面 的 接口 。 

CGI 是 外 部 应 用 程序 (CGI 程序 ) 与 Web 服务 器 之 间 的 接口 标准 ,是 在 CGI 程序 和 
Web 服务 器 之 间 传 递 信息 的 规程 。CGI 规范 允许 Web 服务 器 执行 外 部 程序 ,并 将 它们 的 
输出 发 送 给 Web 浏览 器 。CGI 将 Web 的 一 组 简单 的 静态 超 媒 体 文档 变 成 一 个 完整 的 新 的 
交互 式 媒体 。 

几乎 所 有 的 服务 器 软件 都 支持 CGI, 开 发 者 可 以 使 用 任何 一 种 Web 服务 器 内 置 语 言 
写 CGI, 包 括 Perl 语言 .CC+t+、VB 和 Delphi 等 。 

CGI 应 用 程序 主要 的 用 途 有 以 下 几 种 。 

(1) 根据 浏览 者 填写 的 HTML 表单 发 送 定制 的 答复 ; 

(2) 创建 可 单 击 的 图 像 缩 小 图 ; 

(3) 创建 一 个 浏览 者 可 以 搜索 内 容 的 数据 库 ; 

(4) 提供 服务 器 与 数据 库 的 接口 ,并 把 结果 转换 成 HTML 文档 

(5) 制作 动态 HTML 文档 。 
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C3 Web 应 用 测试 特点 


2.3.1 Web 应 用 特点 


与 传统 的 软件 相 比 ,Web 应 用 具有 下 列 特点 。 

(1) 内 容 驱动 

一 般 来 说 , Web 网 站 不 是 为 了 某 个 或 某 些 特定 用 户 量 身 定做 的 ,它们 一 般 都 拥有 一 个 
广大 的 服务 群体 ,其 服务 的 内 容 往往 由 这 些 群 体 的 要 求 所 决定 。 在 大 多 数 情况 下 ,一 个 
Web 网 站 的 主要 功能 是 使 用 HTML、JavaScript 等 语言 来 提供 文本 、 图 形 音频 .视频 等 内 
容 给 终端 用 户 。 

(2) 易于 导航 

Web 是 一 种 超 文本 信息 系统 。Web 的 超 文本 链接 使 得 Web 文档 可 以 从 一 个 位 置 迅速 
跳 转 到 另 一 个 位 置 ,从 一 个 主题 迅速 跳 转 到 另 一 个 相关 的 主题 。Web 非常 易于 导航 ,只 需 
要 从 一 个 连接 跳 到 另 一 个 连接 ,就 可 以 在 各 页 面 或 各 站 点 之 间 进 行 浏览 。 

(3) 平台 无 关 性 

Web 网 站 对 系统 平台 没有 限制 。 无 论 客户 机 是 何 种 操作 系统 ,只 要 支持 通用 的 Web 
浏览 器 ,用 户 就 可 以 访问 Web 数据 。 无 论 从 Windows 平台 .UNIX 平台 .Macintosh 还 是 别 
的 什么 平台 ,都 可 以 通过 Internet 访问 Web 网 站 。 对 Web 的 访问 是 通过 浏览 器 实现 的 ,如 
Netscape 的 Navigator、Microsoft 的 Explore、 谷 歌 的 Chrome 等 。 

(4) 分 布 式 

大 量 的 图 形 .音频 和 视频 信息 会 占用 相当 大 的 磁盘 空间 ,我 们 甚至 无 法 预知 信息 的 多 
少 。 对 于 Web ,没有 必要 把 大 量 图 形 .音频 和 视频 等 信息 都 放 在 一 起 ,可 以 将 这 些 信 息 放 在 
不 同 的 站 点 上 ,只 要 通过 超 链 接 指向 所 需 的 站 点 ,就 可 以 使 物理 上 处 于 不 同位 置 的 信息 自 逻 
辑 上 形成 一 体 。 对 用 户 来 说 ,这 些 信息 是 一 体 的 。 

(5) 动态 性 

早期 的 Web 页 面 是 静态 的 ,由 于 开发 了 多 种 Web 动态 技术 ,现在 用 户 已 经 能 够 方便 地 
定制 页 面 。 以 ASP 和 Java 为 代表 的 动态 技术 使 Web 从 静态 页 面 变 成 可 执行 的 程序 ,大 大 
提高 了 Web 的 动态 性 和 交互 性 。 页 面 中 可 能 包括 类 似 JavaScript、VBScript 等 客户 端 脚 
本 ,由 于 脚本 行为 的 无 法 预知 性 ,使 得 Web 软件 测试 变 得 困难 。 

(6) 交互 性 

Web 的 交互 性 首先 表现 在 它 的 超 链接 上 ,用 户 的 浏览 顺序 和 所 到 站 点 完全 由 他 自己 决 
定 。 另 外 通过 表单 (form) 的 形式 可 以 从 服务 器 方 获得 动态 的 信息 。 用 户 通过 填写 表单 可 
以 向 服务 器 提交 请 求 ,服务 器 可 以 根据 用 户 的 请 求 返回 相应 信息 。 

(7) 美观 性 

良好 的 观感 会 使 一 个 Web 网 站 锦上添花 。Web 是 一 种 超 媒体 分 布 式 系统 , Web 之 所 
以 能 够 迅速 流行 ,一 个 很 重要 的 原因 就 是 它 可 以 将 文本 、 图 形 、 音 频 、 视 频 信 息 集 合 于 一 体 。 
Web 能 在 页 面 上 充分 展示 文本 、 图 形 、 音 频 、 视 频 等 超 媒体 ,给 人 美的 享受 。 
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(8) 即时 性 

Web 网 站 具有 其 他 任何 软件 类 型 中 都 没有 的 即时 性 ,或 者 称 为 快速 性 。 对 于 某 些 较 大 
规模 的 Web 网 站 ,开发 时 间 往 往 也 只 有 几 周 或 者 几 天 ,适度 复杂 的 Web 页 面 可 以 仅 在 几 小 
时 内 完成 。 这 要 求 开 发 者 必须 十 分 熟练 于 开发 Web 应 用 所 需 的 压缩 时 间 进 度 的 规划 、 分 
析 、 实 现 以 及 测试 方法 。 

(9) 持续 演化 性 

不 同 于 传统 的 、 按 一 系列 规律 发 布 进行 演化 的 应 用 软件 (如 微软 每 隔 1 一 2 年 发 布 新 的 
Office 办 公 软 件 ), Web 网 站 一 般 是 采取 持续 演化 的 模式 。 对 于 某 些 Web 应 用 而 言 , 按 小 时 
为 单位 进行 更 新 都 是 司空 见 惯 的 。 

(10) 安全 性 

Web 网 站 通过 网 络 访问 ,为 了 提高 系统 效率 ,需要 限制 访问 终端 的 用 户 的 数量 。 为 了 
保护 敏感 内 容 , 必 须 提供 安全 的 数据 传输 模式 。 因 此 要 求 Web 网 站 必须 有 一 定 的 安全 性 
保障 。 


2.3.2 Web 应 用 测试 的 特点 


Web 应 用 的 特性 给 Web 测试 带 来 了 新 的 挑战 。Web 应 用 系统 测试 不 但 需要 检查 和 验 
证 其 是 否 按照 设计 的 要 求 运行 ,还 要 保证 系统 能 承受 海量 用 户 的 访问 ,并 且 还 要 从 最 终 用 户 
的 角度 进行 安全 性 和 易 用 性 测试 。 由 于 Internet 和 Web 媒体 的 不 可 预见 性 使 测试 Web 系 
统 变 得 更 加 困难 。 

Web 测试 基于 传统 测试 ,传统 测试 技术 都 可 用 于 Web 测试 中 。 与 传统 软件 相 比 , Web 
测试 不 但 注重 系统 功能 ,而 且 更 加 关注 系统 的 性 能 和 安全 性 。 对 于 Web 测试 来 说 ,最 大 的 
挑战 就 是 海量 用 户 带 来 的 挑战 。 


1. 系统 性 能 测试 


传统 软件 的 性 能 测试 相对 单纯 一 些 , 可 以 比较 容易 搭建 一 套 环境 ,流量 也 比较 容易 模 
拟 。 而 一 个 大 型 的 Web 系统 可 能 有 几 百 上 千 台 甚至 更 多 的 服务 器 ,多 地 多 层 部 署 ,受到 各 
种 因素 的 影响 ,例如 商品 促销 活动 ,一 瞬间 流量 可 能 就 达到 很 高 。 因 此 给 性 能 测试 带 来 了 新 
的 挑战 ,而 且 网 站 发 布 非常 快 ,也 没有 时 间 去 反复 地 做 性 能 测试 。 大 型 Web 应 用 的 性 能 测 
试 是 一 个 很 大 的 课题 。 


2. 浏览 器 的 兼容 性 


用 户 使 用 的 浏览 器 种 类 繁多 ,版 本 更 新 速度 也 很 快 ,除了 IE、Chrome 和 Firefox 浏览 
器 ,还 有 很 多 种 国产 的 浏览 器 ,因此 要 覆盖 用 户 使 用 的 各 种 浏览 器 ,是 一 个 很 大 的 挑战 ,而 且 
也 是 不 可 能 的 ,但 产品 团队 和 希望 测试 能 够 尽 可 能 覆盖 更 多 。 因 此 ,如 何 来 设计 策略 ,采用 什 
么 技术 手段 ,对 测试 者 来 说 是 很 重要 的 。 


3. Web 系统 安全 性 


Web 网 站 是 互联 网 最 重要 的 资源 ,同时 ,Web 网 站 也 面临 着 前 所 未 有 的 安全 威胁 ,黑客 
人 入侵、 病毒 蔓延 将 扰乱 网 站 的 正常 运行 ,给 企业 和 个 人 带 来 损失 和 不 利 影 响 。 为 保证 Web 
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网 站 安全 正常 的 运行 ,对 Web 系统 进行 全 面 深入 的 安全 性 测试 是 必 不 可 少 的 。 
4. Web 易 用 性 


对 Web 软件 企业 来 说 , 易 用 性 是 其 生存 和 运营 的 必要 条 件 。Web 易 用 性 包括 易 理 解 
性 、 易 学 习性 和 易 操作 性 。 随 着 人 们 对 互联 网 的 依赖 ,用 户 体验 变 得 越 来 越 重 要 ,人 们 对 
Web 易 用 性 提出 了 更 高 的 要 求 。 


@.4 Web 应 用 测试 内 容 


2.4.1 功能 测试 
1. 链接 测试 


链接 是 Web 应 用 系统 的 一 个 主要 特征 , 它 是 在 页 面 之 间 切 换 和 指导 用 户 去 一 些 不 知道 
地 址 的 页 面 的 主要 手段 。 在 Web 系统 中 ,软件 系统 都 包含 大 量 的 页 面 ,每 个 页 面 也 包含 了 
众多 的 链接 ,测试 时 需要 验证 这 些 链接 是 否 可 用 、 链 接 的 页 面 是 否 存在 是否 有 孤立 的 页 
面 等 。 


2. 表单 测试 


当 用 户 给 Web 应 用 系统 管理 员 提 交 信 息 时 ,就 需要 使 用 表单 操作 ,例如 用 户 注 册 、 登 
录 、 信 息 提交 等 。 测 试 时 需要 检查 表单 提交 操作 的 正确 性 、 完 整 性 ,还 需要 验证 服务 器 是 否 
正确 保存 了 这 些 数据 ,而 且 后 台 运 行 的 程序 是 否 正 确 解释 和 使 用 这 些 信息 。 


3. Cookies 测试 


Cookies 通常 用 来 存储 用 户 信 息 和 用 户 对 应 用 系统 的 操作 信息 , 当 一 个 用 户 使 用 
Cookies 访问 了 某 一 个 应 用 系统 时 , Web 服务 器 将 发 送 关于 用 户 的 信息 ,把 该 信息 以 
Cookies 的 形式 存储 在 客户 端 计 算 机 上 ,这 可 用 来 创建 动态 和 自 定义 页 面 或 者 存储 登录 等 
信息 。 如 果 Web 应 用 系统 使 用 了 Cookies ,就 必须 检查 Cookies 是 否 能 正常 工作 。 


4. 设计 语言 测试 


Web 设计 语言 版 本 的 差异 可 以 引起 客户 端 或 服务 器 端的 严重 问题 ,例如 使 用 哪 种 版 本 
的 HTML 等 。 当 在 分 布 式 环境 中 开发 时 ,开发 人 员 都 不 在 一 起 ,这 个 问题 就 显得 尤为 重 
要 。 除 了 HTML 的 版 本 问题 外 ,不 同 的 脚本 语言 .例如 Java Applet、 ActiveX、VBScript、 
JavaScript 或 Perl 等 也 要 进行 验证 。 


5. 数据 库 测 试 


在 Web 应 用 技术 中 ,数据 库 起 着 重要 的 作用 ,数据 库 为 Web 应 用 系统 的 管理 、 运 行 、 查 
询 和 实现 用 户 对 数据 存储 的 请 求 等 提供 空间 。 数 据 库 测 试 包括 验证 实际 数据 的 正确 性 和 数 


第 2 章 ”Web 应 用 技术 


据 的 完整 性 以 确保 数据 没有 被 误 用 ,检查 数据 库 结 构 设计 是 否 正确 ,并 对 数据 库 应 用 进行 功 
能 性 测试 。 

在 Web 应 用 中 ,最 常用 的 数据 库 类 型 是 关系 型 数据 库 , 可 以 使 用 SQL 对 信息 进行 处 
理 。 在 使 用 了 数据 库 的 Web 应 用 系统 中 ,一 般 情 况 下 ,可 能 发 生 两 种 错误 ,分别 是 数据 一 致 
性 错误 和 输出 错误 。 数据 一 致 性 错误 主要 是 由 于 用 户 提交 的 表单 信息 不 正确 而 造成 的 ,而 
输出 错误 主要 是 由 于 网 络 速度 或 程序 设计 问题 等 引起 的 ,针对 这 两 种 情况 ,可 分 别 进 行 
测试 。 


6. 应 用 程序 特定 功能 测试 


测试 人 员 需 要 对 应 用 程序 特定 的 功能 需求 进行 验证 。 尝 试用 户 可 能 进行 的 所 有 操作 ， 
如 购物 网 站 中 包括 下 订单 更改 订单 .取消 订单 .核对 订单 状态 、 在 货物 发 送 之 前 更 改 送 货 信 
息 \ 在 线 支付 等 。 


2.4.2 性 能 测试 


作为 一 个 网 络 用户 ,通常 遇 到 的 问题 是 单 击 一 个 链接 或 者 提交 一 个 表单 ,需要 相当 长 的 
时 间 才 能 得 到 服务 器 反馈 的 页 面 。 这 样 的 Web 应 用 系统 即使 功能 再 强大 ,也 会 因为 性 能 问 
题 失去 用 户 。 在 如 今 的 Web 应 用 系统 研发 中 ,性 能 测试 的 地 位 逐步 提高 。 这 里 的 性 能 测试 
是 广义 上 的 性 能 测试 。 

在 Web 软件 系统 测试 中 一 般 包 括 三 个 方面 的 内 容 : 响应 速度 测试 .负载 测试 .压力 
测试 。 


1. 响应 速度 测试 


在 Web 应 用 软件 中 ,由 于 软件 的 大 部 分 功能 是 在 服务 器 端 实现 的 ,而 客户 端 仅 是 通过 
浏览 器 浏览 服务 器 发 来 的 信息 ,所 以 这 种 结构 下 的 应 用 软件 对 连接 速度 的 要 求 是 较 高 的 。 
当 用 户 访问 页 面 时 ,如 果 Web 系统 响应 时 间 太 长 (例如 超过 5s) ,用 户 就 会 因 没有 耐心 等 待 
而 离开 。 另 外 ,有 些 页 面 有 超时 的 限制 ,如 果 响 应 速度 太 慢 ,用 户 可 能 还 没 来 得 及 浏览 内 
容 , 就 需要 重新 登录 了 。 而 且 , 连 接 速度 太 慢 ,还 可 能 引起 数据 丢失 ,使 用 户 得 不 到 真实 
的 页 面 。 

响应 速度 测试 就 是 获取 系统 对 用 户 请 求 的 响应 时 间 。 


2. 负载 测试 


负载 测试 是 为 了 测量 系统 在 某 一 负载 级 别 上 的 性 能 ,以 保证 系统 在 需求 范围 内 能 正常 
工作 。 负 载 级 别 可 以 是 某 个 时 刻 同 时 访问 Web 系统 的 用 户 数量 ,也 可 以 是 在 线 数据 处 理 的 
数量 。 例 如 ,应 用 系统 能 允许 多 少 个 用 户 同时 在 线 ; 如 果 超 过 了 这 个 数量 ,会 出 现 什么 现 
象 ; 应 用 系统 能 否 处 理 大 量 用 户 对 同一 个 页 面 的 请 求 。 


3. 压力 测试 
压力 测试 实际 上 是 一 种 破坏 性 测试 ,在 一 定 用 户 数 的 压力 下 来 测试 系统 的 反应 。 压 力 
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测试 是 测试 系统 的 极限 和 故障 恢复 能 力 , 也 就 是 测试 应 用 系统 会 不 会 崩溃 ,在 什么 情况 下 会 
崩溃 ,崩溃 以 后 会 怎么 样 。 黑 客 常常 提供 错误 的 数据 负载 ,直到 应 用 系统 崩溃 ,接着 当 系统 
重新 启动 时 获得 存 取 权 。 

在 Web 应 用 系统 性 能 测试 过 程 中 ,常常 将 压力 测试 和 负载 测试 结合 起 来 。 在 负载 测试 
的 基础 上 , 增 大 负载 量 , 直 到 系统 崩溃 。 


2.4.3 用 户 界 面 测试 


Web 界面 面 对 的 是 用 户 ,用 户 通过 Web 界面 实现 对 软件 ,数据库 的 操作 。 通 过 Web 界 
面 测试 可 以 确保 Web 应 用 向 用 户 提供 了 正确 的 信息 显示 ,从 而 使 用 户 能 够 进行 正确 的 操 
作 ,来 实现 Web 应 用 的 功能 。 除 此 之 外 ,Web 界面 测试 还 要 确保 UI 对 象 符合 预期 的 要 求 ， 
满足 用 户 的 易 用 体验 要 求 并 符合 行业 的 标准 。 

用 户 界面 测试 包括 导航 测试 .图 形 测试 .内 容 测 试 整体 界面 测试 等 。 


2.4.4 安全 性 测试 


作为 Web 应 用 系统 , 常 受 到 病毒 和 非法 入 侵 的 攻击 ,数据 传输 会 被 非法 截获 和 伪造 传 
递 。 因 此 ,Web 服务 器 安全 性 的 测试 是 非常 重要 的 内 容 。 安 全 性 测试 主要 是 测试 系统 在 没 
有 授权 的 内 部 或 者 外 部 用 户 对 系统 进行 攻击 或 者 恶意 破坏 时 如 何 进 行 处 理 , 是 否 仍 能 保证 
数据 和 页 面 的 安全 。 

Web 应 用 安全 性 测试 包括 Web 应 用 程序 部 署 环境 测试 ,应 用 程序 安全 性 测试 .数据库 
测试 和 容错 测试 等 。 


2.4.5 接口 测试 


在 很 多 情况 下 ,Web 网 站 不 是 孤立 的 , 它 可 能 与 外 部 服务 器 通信 、 请 求 数 据 、 验 证 信息 
或 提交 订单 等 。 

Web 接口 测试 需要 测试 浏览 器 与 服务 器 之 间 的 接口 。 有些 Web 系统 有 外 部 接口 , 测 
试 人 员 需 要 检查 外 部 接口 返回 服务 器 的 消息 和 数据 。 另 外 ,最 容易 被 测试 人 员 忽略 的 地 方 
是 接口 错误 处 理 , 这 个 也 是 接口 测试 时 必须 要 检查 的 。 


2.4.6 客户 端 兼 容 性 测试 


对 于 Web 应 用 ,我 们 是 无 法 预知 用 户 的 客户 端 配置 和 和 运行 环境 的 ,所 以 ,做 好 兼容 性 测 
试 是 非常 重要 的 。Web 兼容 性 测试 需要 测试 Web 系统 在 各 种 操作 系统 、 浏 览 器 ,视频 设 
置 ,Modem 连接 速率 等 环境 下 能 否 正常 使 用 。 


2.4.7 其 他 测试 


除了 以 上 测试 以 外 ,Web 测试 内 容 还 包括 文档 测试 .本 地 化 测试 .可 靠 性 测试 等 。 
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@.5 本 章 小 结 


开展 Web 测试 需要 了 解 Web 应 用 的 原理 和 基本 技术 。 本 章 简 要 介绍 了 Web 系统 体 
系 结构 和 Web 应 用 基本 技术 。 在 分 析 Web 应 用 测试 的 特点 的 基础 上 ,介绍 了 Web 应 用 测 
试 的 内 容 和 方向 。Web 应 用 的 新 特性 给 测试 带 来 了 新 的 挑战 .特别 对 是 大 型 的 网 站 ,其 并 
发 性 、 安 全 性 、 可 靠 性 等 的 测试 。 


Web 功 能 测试 
Web 用 户 界面 测试 
Web 性 能 测试 
Web 安 全 性 测试 
Web 兼 容 性 测试 


Web 功 能 测试 | 


功能 测试 是 根据 产品 特性 、 操 作 描述 和 用 户 方案 ,测试 一 个 产品 的 特性 和 可 操作 行为 以 
确定 它们 满足 设计 需求 。Web 应 用 程序 的 功能 测试 内 容 非 常 丰富 ,包括 链接 测试 ,表单 测 
试 .Cookie 测试 .数据库 测试 ,接口 测试 ,业务 功能 测试 等 。 


@.1 链接 测试 


3.1.1 链接 的 定义 


超 链 接 (Hyperlink) 也 称 链 接 (Link) ,是 指 从 一 个 网 页 指向 一 个 目标 的 连接 关系 ,所 指 
向 的 目标 可 以 是 另 一 个 网 页 ,也 可 以 是 相同 网 页 上 的 不 同位 置 ,还 可 以 是 图 片 .多 媒体 文件 
(音频 、 视 频 )、 电 子 邮 箱 地 址 、 文 件 ,甚至 是 应 用 程序 。 在 网 页 中 用 来 做 超 链 接 的 对 象 ,可 以 
是 一 段 文 本 或 者 是 一 张 图 片 。 当 浏览 者 单 击 已 经 链接 的 文字 或 图 片 后 ,链接 目标 将 显示 在 
浏览 器 上 ,并 且 根 据 目标 的 类 型 来 打开 或 运行 。 

按照 链接 路 径 的 不 同 ,网 页 中 的 链接 一 般 分 为 以 下 三 种 类 型 : 内 部 链接 , 锚 点 链接 和 外 
部 链接 。 按 照 使 用 对 象 的 不 同 ,网 页 中 的 链接 又 可 以 分 为 文本 链接 、 图 像 链接 、E-mail 链 
接 、 锚 点 链接 .多 媒体 文件 链接 . 空 链接 等 。 按 照 链接 打开 方式 的 不 同 , 有 当前 窗口 打开 .上 
层 窗 口 打 开 、 新 窗口 打开 和 顶层 窗口 打开 等 类 型 。 

在 网 页 中 ,一 般 文字 上 的 链接 都 是 蓝 色 的 (当然 ,用 户 也 可 以 自己 设置 成 其 他 颜色 ) , 文 
字 下 面 有 一 条 下 划 线 。 当 移动 鼠标 指针 到 该 链接 上 时 ,鼠标 指针 就 会 变 成 一 只 手 的 形状 ,这 
时 候 用 鼠标 单 击 ,就 可 以 直接 跳 到 与 这 个 链接 相连 接 的 网 页 或 WWW 网 站 上 去 。 如 果 用 户 
已 经 浏览 过 某 个 链接 ,这 个 链接 的 文本 颜色 就 会 发 生 改 变 。 只 有 图 像 链接 访问 后 颜色 不 会 
发 生变 化 。 


3.1.2 链接 测试 内 容 


链接 测试 可 分 为 以 下 三 个 方面 。 

(1) 是 否 按 指 示 的 那样 确实 链接 到 了 该 链接 的 页 面 ,页 面 上 是 否 有 无 效 链接 。 

(2) 链接 的 页 面 是 否 存 在 。 若 不 存在 , 则 应 设计 出 友好 的 提示 信息 页 面 , 告 之 用 户 请 求 
的 页 面 不 存在 或 给 出 相应 的 提示 语 。 

(3) 保证 Web 应 用 系统 上 没有 孤立 的 页 面 。 所 谓 孤立 页 面 是 指 没 有 链接 指向 该 页 面 ， 
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只 有 知道 正确 的 URL 地 址 才能 访问 。 

另外 在 测试 过 程 中 ,还 需要 注意 链接 本 身 应 言 简 意 凡 , 链 接 指示 应 具有 可 读 性 ,并 且 可 
操作 性 强 。 

链接 测试 主要 检查 点 有 以 下 几 个 方面 。 

(1) 页 面 是 否 有 无 法 连接 的 内 容 , 图 片 是 否 能 正常 显示 ,有 无 元 余 图 片 , 代 码 是 否 规范 ， 
页 面 是 否 存在 死 链接 。 

(2) 图 片 是 否 有 无 用 链接 , 单 击 图 片上 的 链接 是 否 跳 转 到 正确 页 面 。 

(3) 页 面 单 击 Logo 下 的 一 级 栏目 或 二 级 栏目 名 称 , 是 否 可 进入 相应 的 栏目 。 

(4) 单 击 首页 或 列表 页 的 文章 标题 链接 ,是否 可 进入 相应 的 文章 详情 页 。 

(5) 单 击 首页 栏目 名 称 后 的 【更 多 链接 ,是 否 正确 跳 转 到 相应 页 面 。 

(6) 文章 列表 页 , 左 侧 栏目 的 链接 ,是否 可 正确 跳 转 到 相应 的 栏目 页 面 。 

(7) 导航 链接 的 页 面 是 否 正确 ,是 否 可 按 栏 目 级 别 跳 转 到 相应 的 页 面 。 

(8) 相关 信息 链接 显示 页 面 是 否 链接 正确 ,是 否 有 空 链接 和 错误 链接 。 


3.1.3 链接 测试 工具 


1. 链接 测试 工具 的 优势 


在 Web 系统 中 包含 大 量 的 页 面 ,每 个 页 面 中 又 包含 了 众多 的 链接 ,其 测试 工作 量 很 大 。 
为 提高 测试 效率 可 采用 工具 进行 测试 。 

链接 测试 工具 具有 下 列 优 势 。 

(1) 简单 易 用 ; 

(2) 在 实现 上 采用 多 线程 技术 ,检查 速度 特别 快 ; 

(3) 对 断 开 的 链接 可 以 再 次 测试 ,可 以 避免 误 判 ; 

(4) 没有 检查 链接 的 数量 限制 ,只 受 系统 资源 的 约束 ; 

(5) 可 以 分 析 Web 应 用 的 结构 ; 

(6) 检查 结果 可 以 分 类 查看 ,自动 生成 HTML 格式 的 报告 。 


2. 常用 链接 测试 工具 


(1) Xenu Link Sleuth 

下 载 地 址 : http://home. snafu. de/tilman/xenulink. html 

Xenu 可 以 打开 一 个 本 地 网 页 文件 来 检查 它 的 链接 ,也 可 以 输入 任何 网 址 来 检查 。 执 行 
测试 后 ,Xenu 可 以 分 别 列 出 网 站 的 活 链接 以 及 死 链接 ,并 分 析出 转向 链接 。Xenu 支持 多 线 
程 ,可 以 把 检查 结果 存储 成 文本 文件 或 网 页 文件 。Xenu 检测 出 指定 网 站 的 所 有 死 链接 包括 
图 片 链接 等 ,并 用 红色 显示 ; 同时 Xenu 可 制作 html 格式 的 网 站 地 图 (Site Map) ,检测 结束 
后 可 生成 链接 报告 , 稍 加 编辑 就 是 一 份 详尽 准确 的 网 站 地 图 。 

(2) HTML Link Validator 

HTML Link Validator 可 以 检查 Web 中 的 链接 情况 ,看 看 是 否 有 无 法 连接 内 容 。 本 程 
序 可 以 在 很 短 的 时 间 内 检查 数 千 个 文件 ,只 需 双 击 放 有 网 页 的 文件 夹 就 能 开始 检查 。 可 以 
标记 错误 链接 的 文件 ,很 方便 地 显示 链接 ,使 用 者 也 可 以 编辑 这 些 资 料 。 
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(3) Web Link Validator 

下 载 地 址 : http://www. relsoftware. com/wlv 

Web Link Validator 是 适用 于 网 管 检测 网 站 链接 可 用 性 的 工具 ,可 以 检测 Javascript、 
Flash、 图 片 地 图 等 。Web Link Validator 是 通过 输入 网 址 的 方式 来 测试 网 络 链接 是 否 正 
常 。 测 试 者 可 以 给 出 任意 存在 的 网 络 链接 ,如 软件 文件 .HTML 文件、 图 形 文件 等 都 可 以 。 

(4) LinkCheckerPro 

下 载 地 址 : http://www. link-checker-pro. com 

LinkCheckerPro 主要 对 网 页 进行 分 析 , 检 查 断 链接 和 其 他 链接 问题 。LinkCheckerPro 
界面 友好 、 操 作 简单 ,适合 超过 10 万 个 链接 的 企业 级 网 站 。 

(5) 其 他 链接 测试 工具 

除了 以 上 链接 测试 工具 外 ,还 有 很 多 其 他 的 链接 测试 工具 ,如 Linkbot、LinkTiger、Site 
Audit\、LinkScan .CyberSpyder Link Test、Alert Linkrunner 等 。 


3.1.4 Xenu 链接 测试 工具 的 使 用 
1. Xenu 简介 


Xenu 是 一 款 出 色 的 死 链 接 检 测 工具 ,全 称 为 Xenu's Link SleuthTM。 它 是 由 德国 柏 
林 的 Tilman Hausherr 为 网 页 死 链 检测 专门 开发 的 免费 软件 。Xenu 具有 如 下 特点 。 

(1) 检测 范围 广 ,能 够 检测 的 链接 有 普通 链接 图片.Frame 框架 .插件 .背景 local 
image maps、 样 式 表 、 脚 本 和 Java Applets 等 。 

(2) 检测 速度 快 ,最 多 支持 100 个 并 发 检测 线程 。 一 般 中 小 型 站 点 只 需要 数 十 秒 即 可 
完成 检测 。 

(3) 一 次 检测 可 以 涵盖 100 万 以 上 的 URL 总 量 ,如 果 使 用 64 位 版 本 ,还 可 以 更 多 。 

(4) 用 户 操作 界面 简单 ,安装 和 使 用 方便 。 

(5) 报告 采用 HTML 格式 输出 , 死 链 接 情况 一 目 了 然 ,非常 直观 。 

(6) 可 以 按照 网 页 标题 自动 生成 网 站 地 图 。 

(7) 支持 重 定向 和 SSL。 


2. Xenu 下 载 /安装 


下 载 地 址 : http://home. snafu. de/tilman/xenulink. html 
安装 ， 解压 缩 后 ,直接 运行 setup. exe 即 可 。 


3. 运行 


CtrltH 


(1) 启动 Xenu 后 , 单 击 File, 如 图 3-1 所 示 。 Ctlto 

(2) 单 击 Check URL, 弹 出 Xenu's starting 
point 对 话 框 ,如 图 3-2 所 示 。 根 据 测 试 项 目的 
要 求 进行 设置 ,设置 完成 后 , 单 击 OK 按钮 ,Xenu 
将 开始 对 输入 的 URL 网 址 进行 检测 。 

例如 , 输入 西南 科技 大 学 的 网 址 www 图 3-1 Xenu 的 File 菜单 
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SMW/ 


. swust. edu. cn, 单 击 OK 按钮 后 ,开始 测试 ,如 图 3-3 所 示 。 此 时 会 显示 当前 链接 的 详细 信 
息 ,包括 地 址 ,状态 、 类 型 .大 小 ,标题 ,日 期 \ 层 次、 外 部 链接 、 内 部 链接 、 持 续 时 间 。 


Kenu’s starting point 


What address do you want to check? 
Enter your "root UBL”, e.8 
http://www. host. com/user/ 


如 果 要 测试 外 部 网 站 ， 请 勾 选 此 项 ; 
否则 取消 ， 以 免 抓 取 外 部 网 站 


Include / Exclude: 
Consider URLs beginning with this as [Kal] jeleie 


对 此 处 添加 需要 考虑 的 URL 


Inactive 


Do not check any URLs beginning with [Add] 


DL 


Inactive 


re] [Eee 


图 3-2 ”Xenu's starting point 对 话 框 


Xenu - [Xenul] 
[HEile Edit View Options Window Help 
日 芒 国 ' sm| 蚊 | 加 | 办 | 是 | 


Address Status “Type Size Title 
http://www. swust edu. cry 9 text/html ”71141 西南 科技 天 学 30.01. 2014 
http://www, swust, edu cn/page x 4733 
http’//www. swust. edu cn/ page. 22365 
http’//wew. swust edu cn/page. 93637 
http’//wew, swust. edu cn/ imaEg， image/ gif 742 关闭 图 片 浮 动 频道 
http: /mew. swust, edu en/redi text/htnl 301 redirect 
http'//wew. swust, edu cn/pict image/ jpee 39124 
http: /f/mw, english. swust. edu. English 
http: /rw. swast edu, en/inss. 2 
http’//wew. adobe com/ go/ getf. 《img sre=“htt， 
http:/ /wew. adobe com/ images/ 获取 Adobe Fl 
http: /few. swust edu. cn/inel appli ca 
http: /ww. swust edu en/s/2/, /html 学 核 概况 
http: /ew. swust, edu. cn/s/21 Jhtnl 
http: /fw. swast edu, en/s/2/ text/htnl 
http’//www. swust text/html 
http://wew. swust ens/2/ text/html 
http: /fmw, swast, edu. en/s/2/ 
http: /few. swust 
http://xyh. swust. 

swust text/html 


Thresds, 30 2675 of 3109 URLs (66 为 don 
3-3 ”Xenu 测试 界面 


(3) 在 Xenu 测试 界面 中 可 以 看 到 各 链接 的 状态 ,各 状态 的 含义 如 下 。 
Q@ ok: 网 页 下 载 完成 。 

@ skip: 不 读 取 该 网 站 以 外 的 链接 。 

@ not found: 链接 不 存在 。 
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(4) 选择 某 条 记录 右 击 ,然后 选择 URL Properties, 可 以 查看 该 链接 地 址 的 信息 
包括 这 个 页 面 的 标题 信息 、 链 接 到 这 个 页 面 的 其 他 链接 , 以 eve 
图 3-4 是 www. swust. edu. cn 的 详细 信息 。 


I URL Properties 


Page URL: 
http://www. swust. edu. cn/ 


Title or link text: 
西南 科技 大 学 


100 links on this page: 

http:/ /wwew. swust. edu. cn/page/mainBS1/images/base. css 四 
http://www. swust. edu. cn/page/mainBS1/Scripts/swfobject modified. js 三 | 
http:Yywww swust. edu. Si 8.3.min js 
http://wew. swust. edu. cry images/button/ delet. 


833 pages linking to this one: 


http://www. swust. edu. eV/ s/2/t/851/p/11/ ce/3317/1ist. htm 
http:/ /wew. swust. edu. cn/ s/2/t/851/p/11/c/832/1ist, htm 
http://www. swust. edu. cm/s/2/t/851/p/11/ ec/837/1ist. htm 
http://www. swust. edu. cmy s/2/t/851/p/11/ ce/4242/1ist. htm 


3-4 查看 URL 属性 


(5) 当 网 站 的 所 有 链接 检测 完成 后 ,将 生成 网 站 链接 报告 。 测 试 结果 将 以 网 页 的 形式 
展现 出 来 ,如 图 3-5 所 示 。 文 档 最 后 可 以 看 到 检测 的 统计 信息 ,如 图 3-6 所 示 ( 说 明 : 本 次 测 
试 是 在 公 网 中 测试 的 ,学 校 的 一 些 网 页 不 能 访问 ,所 以 测试 结果 中 not found 占 的 比重 比 
较 大 ) 。 


Broken link report 


[0 All pages, by result type: 
上 


2034 URL 60. 93% 
a 要 如 时 
ee, 

es 
ee 
ee 


图 3-5 Xenu 生成 的 测试 报告 图 3-6 测试 结果 统计 信息 


检测 完成 ,需要 分 析 检 测 结果 。 测 试 结果 中 ,用 红色 显示 的 URL 表明 是 有 问题 的 页 
面 ,如 检测 结果 没有 红色 的 URL, 表 明 测试 通过 ,无 死 链 接 存在 。 选 择 红色 显示 的 错误 链接 
右 击 ,选择 URL Properties, 可 以 查看 该 链接 地 址 的 详细 信息 。 根 据 错 误 链接 的 网 址 、 标 题 
和 链接 文本 ,对 错误 网 页 进行 查找 。 最 后 把 测试 结果 提供 给 开发 人 员 , 让 开发 人 员 做 相应 
修改 。 
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CC 表单 测试 


3.2.1 表单 的 定义 


表单 (Form) 在 Web 网 页 中 用 来 提供 给 访问 者 填写 信息 ,从 而 获得 用 户 信息 ,实现 和 用 
户 的 交互 。 表 单 和 Windows 的 对 话 框 类 似 ,是 由 若干 控件 组 成 的 ,包括 文本 框 \ 复 选 框 、 列 
表 、 菜 单 , 按 钮 等 ,访问 者 用 它们 输入 信息 或 做 出 选择 。 当 访问 者 填写 完 信 息 后 做 提交 
(Submit) 操 作 时 ,表单 的 内 容 将 从 客户 端的 浏览 器 传送 到 服务 器 上 ,由 Web 服务 器 上 的 程 
序 处 理 。 

Web 表单 一 般 由 以 下 6 部 分 组 成 。 


1. 标签 
标签 告诉 用 户 相 应 的 输入 框 中 应 填写 的 内 容 。 
2. 输入 域 


输入 域 包括 文本 输入 框 、 密 码 框 . 单 选 框 . 多 选 框 .滚动 条 等 。 

(1) 输入 框 类 型 。 根 据 需 要 选择 合适 的 输入 框 类 型 ,每 种 输入 框 都 有 它 自 己 的 特性 。 
例如 ,如 果 只 允许 选择 一 个 ,就 用 单 选 按钮 ; 如 果 可 以 多 选 , 则 用 复 选 框 。 

(2) 定制 输入 框 。 简 单 通 常 是 最 实用 的 ,尽量 让 输入 域 看 起 来 跟 HTML 中 展现 的 一 
个 样 。 
(3) 限制 输入 框 的 格式 。 如 果 要 限制 用 户 输入 数据 的 格式 ,应 采用 用 户 熟 悉 和 习惯 的 
方法 。 例 如 ,代替 在 日 期 文本 框 后 加 MM/DD/YYYY 备注 ,可 采用 三 个 下 拉 列 表 框 ,更 好 
的 办 法 是 ,用 日 历 控 件 来 控制 。 

(4) 必 填 项 和 选 填 项 。 应 当 让 用 户 清楚 地 知道 哪些 输入 框 是 必 填 的 ,一 般 用 星 号 (* ) 
表示 必 填 。 


3. 操作 


表单 操作 包括 链接 和 按钮 。 当 用 户 单 击 链接 或 按钮 后 ,可 完成 一 个 动作 或 事件 ,如 提交 
表单 的 操作 。 


4. 帮助 


帮助 用 户 完成 表单 的 填写 。 永 远 不 应 该 向 用 户 解释 如 何 填写 表单 。 如 果 它 看 起 来 不 像 
表单 或 很 难 填写 ,那么 只 有 重新 设计 了 。 帮 助 文字 只 应 出 现在 需要 的 地 方 ,并 且 要 尽量 简洁 
易 读 。 

用 户 触发 和 动态 帮助 。 与 其 每 个 输入 域 后 都 加 上 帮助 文字 ,不 如 让 其 只 在 用 户 需要 时 
才 出 现 。 可 以 在 输入 框 旁 边 放 个 小 图 标 , 让 用 户 在 需要 时 自行 单 击 。 或 者 当 用 户 在 输入 框 
里 输入 数据 时 ,动态 显示 帮助 信息 。 
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5. 信息 


针对 用 户 的 输入 ,提供 反馈 信息 。 反 馈 信 息 可 能 是 积极 的 信息 (如 提示 表单 成 功 提交 )， 
也 可 能 是 消极 的 (如 “您 选择 的 用 户 名 已 被 注册 ”) 。 

(1) 错误 信息 。 告 知 用 户 有 错误 发 生 , 一 般 会 阻止 用 户 继续 填写 表单 。 可 采用 以 下 方 
法 突出 错误 信息 : 颜色 (通常 是 红色 ) ,熟知 图 形 (如 警告 标志 )、 突 出 显示 (通常 在 表单 上 方 
或 是 发 生 错 误 的 侧 边 )、 大 字体 ,或 者 以 上 综合 。 

(2) 成 功 信 息 。 用 以 告知 用 户 其 在 表单 上 取得 了 较 大 进步 。 如 果 表 单 很 长 ,成 功 信 息 
可 以 鼓励 用 户 继续 填写 。 和 错误 信息 一 样 ， 


成 功 信息 也 应 突出 显示 。 但 是 不 能 阻碍 用 户 | sw 向/ 手机 号 码 | 
继续 填写 表单 。 生生 
登录 密码 : [ - 四 | 
6. 验证 
确认 本 码 : | 
验证 的 目的 是 确保 用 户 提交 的 数据 符合 
参数 规则 。 过 
例如 ; 当当 网 上 的 注册 功能 ,就 是 一 个 表 图 3-7 网 站 注册 


单 ,如 图 3-7 所 示 。 
3.2.2 表单 控件 的 测试 


在 一 个 表单 中 常常 包含 各 类 控件 ,测试 时 必须 对 每 个 控件 进行 单独 的 测试 ,最 后 还 需要 
将 表单 中 的 各 元 素 组 合 起 来 测试 。 


1. 文本 框 的 测试 


文本 框 是 一 种 让 访问 者 自己 输入 内 容 的 表单 对 象 。 

单行 文本 框 (TextBox) 通 常 被 用 来 填写 单个 字 或 者 简短 的 信息 。 图 3-8 就 是 一 个 单行 
文本 框 ,要 求 用 户 填写 用 户 名 。 

多 行文 本 框 (TextArea) 又 称 为 滚动 文本 框 , 它 能 够 让 访问 者 填写 较 长 的 内 容 。 多 行文 
本 框 默认 情况 下 是 文本 自动 换行 。 当 输入 内 容 超 过 文本 域 的 右边 界 时 会 自动 转 到 下 一 行 ， 
而 数据 在 被 提交 处 理 时 自动 换行 的 地 方 不 会 有 换行 符 出 现 。 图 3-9 中 就 有 两 个 多 行文 
本 框 。 


多 行文 本 框 能 让 访问 者 填写 较 长 的 内 容 。 多 国 | 
个 全 各 行文 本 杠 默 认 情 况 下 是 文本 自动 换行 : 一 


目 我 简介 
霜 记 名 | 到 


图 3-8 单行 文本 框 图 3-9 ”多 行文 本 框 


NA 
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N\A 


文本 框 是 最 容易 出 现 缺 陷 和 问题 的 地 方 ,需要 综合 考虑 ,设计 周密 详细 的 测试 用 例 。 对 
于 多 行文 本 框 的 测试 ,可 参照 单行 文本 框 的 测试 内 容 , 并 补充 多 行文 本 框 的 一 些 特殊 内 容 的 
测试 ,例如 文本 内 容 较 多 时 , 回 车 换行 和 缩 进 是 否 正确 ; 文本 内 容 超 出 文本 框 显示 范围 时 ， 
是 否 有 滚动 条 。 

(1) 基本 检查 项 

进行 文本 框 测试 时 ,有 些 内 容 是 必须 要 考虑 和 测试 的 ,对 文本 框 进 行 基本 检查 时 ,可 参 
考 表 3-1。 

表 3-1 文本 框 基本 检查 项 


测试 分 类 检查 内 容 

输入 有 效 时 ,验证 输入 与 输出 是 否 信息 一 致 

输入 无 效 时 ,是 否 有 提示 信息 ,提示 信息 是 否 准确 ,友好 

检查 对 特殊 字符 的 处 理 , 尤 其 是 输入 信息 需要 发 送 到 数据 库 的 。 特 殊 字符 包括 '( 单 引 


号 )、"( 双 引号 )、[]( 中 括号 )、() (小 括号 )、{}( 大 括号 )、;( 分 号 )、 二 二 (大 于 小 于 
号 ) 等 


对 于 有 特殊 限制 的 ,应 该 在 输入 时 做 出 提示 ,指出 不 允许 的 输入 或 者 标 出 允许 的 输入 ， 
功能 测试 ”| 如 注册 时 用 户 名 的 限制 

输入 超 长 字符 或 文本 。 例 如 在 “地 址 ” 框 中 输入 超过 允许 边界 个 数 的 字符 ,假设 最 多 
255 个 字符 ,尝试 输入 256 个 字符 ,检查 程序 能 否 正确 处 理 

是 否 允 许 复制 (Ctrl 十 C) 粘贴 (Ctrl 二 V) 、 删 除 (Delete) 等 功能 

当 处 于 某 种 状态 下 ,输入 框 是 否 处 于 可 写 或 非 可 写 状态 。 例 如 ,系统 自动 给 予 的 编号 作 
为 唯一 标识 , 当 再 次 处 于 编辑 状态 下 ,此 输入 框 应 处 于 不 可 写 状 态 , 如 果 可 对 其 编辑 ,将 
可 能 会 造成 数据 重复 或 出 现 冲突 

文本 框 的 大 小 ,长度 是 否 合理 

文本 框 前 面 的 标题 是 否 正确 

文本 框 的 颜色 和 字符 本 身 显示 的 颜色 是 否 美观 .协调 

文本 框 字符 或 文体 过 长 (但 未 超出 限制 ) ,显示 时 是 否 影响 显示 效果 ,如 出 现 重 县 、 履 盖 、 
界面 测试 “| 错位 等 问题 

密码 输入 窗口 转换 成 星 号 或 其 他 符号 

输入 错误 时 的 提示 信息 是 否 准确 

对 空格 .Tab 字符 的 处 理 机 制 是 否 正确 

按 Ctrl 和 Alt 键 对 输入 框 有 什么 影响 

给 出 一 些 特别 的 关键 字 , 例 如 输入 or 1 一 1, 或 者 输入 Admin-- 等 攻击 性 语句 
安全 性 测试 | 输入 HTML 标签 是 否 会 出 错 

是 否 对 敏感 信息 进行 加 密 , 是 否 对 密码 输入 框 中 的 信息 进行 加 密 


(2) 字符 型 
有 些 文本 框 要求 输 入 内 容 是 字符 型 的 ,对 于 字符 型 输入 ,可 参考 表 3-2 进行 测试 。 
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表 3-2 字符 型 文本 框 的 测试 内 容 


测试 分 类 


检查 内 容 


字符 种 类 


分 别 输 入 英文 全 角 字 符 ,英文 半角 字符 进行 测试 


分 别 输入 数字 ,汉字 字母 以 及 它们 的 组 合 进行 测试 


输入 为 空 , 或 者 输入 空格 


特殊 字符 "一 !@## $ %^&&* 0)_ 十 {}|[\:" 过 >?;',./?;:' 一 二 等 可 能 导致 系统 错误 的 
字符 ,特别 要 注意 单 引号 和 & 符号 


禁止 直接 输入 特殊 字符 时 ,使 用 粘贴 .拷贝 功能 尝试 输入 ,并 测试 能 否 正常 提交 


长 度 检查 


分 别 输入 最 小 长 度 \、 最 大 长 度 、 最 小 长 度 一 1、 最 大 长 度 十 1 


输入 超 长 字符 ,例如 把 很 长 的 文档 拷贝 到 输入 框 中 


空格 检查 


输入 的 字符 中 间 有 空格 


分 别 检 查 字 符 前 有 空格 ,字符 后 有 空格 ,字符 前 后 均 有 空格 的 情况 


多 行 输 入 


允许 回 车 换行 


查看 显示 时 能 够 保存 输入 的 格式 ( 缩 进 、 换 行 等 ) 


只 输入 回 车 换行 ,检查 能 否 正 确保 存 
若 能 ,查看 保存 结果 ; 若 不 能 ,查看 是 否 有 正常 提示 


输入 内 容 超过 多 行文 本 框 显 示范 围 时 ,滚动 条 是 否 可 拖 动 


安全 性 检查 


输入 特殊 字符 串 null, NULL, &nbsp, javascript, < script 二 ,一 /script 二 ,一 title>， 
过 html>,<td> 等 


输入 脚本 函数 二 script>alter("abc")<=/script> ,document. write("abc") ,一 b>helle> 
</b> 


(3) 数值 型 
有 些 文本 框 要 求 输入 内 容 是 数值 型 的 ,对 于 数值 型 输入 ,可 参考 表 3-3 进行 测试 。 


表 3-3 数值 型 文本 框 测试 内 容 


测试 分 类 检查 内 容 
数 的 大 小 ”| 最 小 值 . 最 大 值 , 最 小 值 一 1、 最 大 值 十 1、 中 间 值 
最 小 位 数 、 最 大 位 数 、 最 小 位 数 一 1、 最 大 位 数 十 1 
人 输入 超 长 值 
输入 为 空白 (NULL) ,空格 或 "~~!@# $%^&* OO_ 十 {}|[\:" 过 >>?;',./3;: ' 一 = 等 
可 能 导致 系统 错误 的 字符 
当 禁 止 直 接 输入 特殊 字符 时 ,使 用 粘贴 拷贝 功能 是 否 可 以 输入 
利用 Word 中 的 特殊 功能 ,通过 剪贴 板 将 分 页 符 ,分 节 符 ,类 似 公式 的 上 下 标 等 拷贝 到 输入 框 
数值 的 特殊 符号 ,如 也 ,log\ln、 本 I\ 十 ,一 等 
输入 负数 ,小 数 , 分 数 、0、0. 00 
异常 值 、 
特殊 字符 输入 字母 或 汉字 


小 数 点 前 零售 去 的 情况 ,如 . 12; 多 个 小 数 点 的 情况 ; 0 值 : 0.0.0,.0 


首位 为 零 的 数值 ,如 01 .02 


检查 是 否 支持 科学 记 数 法 ,如 1. 0E2 


全 角 数 字 与 半角 数字 


数字 与 字母 的 混合 : 16 进 制 数值 ,8 进 制 数 值 


货币 型 输入 


安全 性 检查 


如 果 不 能 直接 输入 非 数字 类 字符 ,是 否 可 以 拷贝 非 数 字 类 字符 
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(4) 日 期 型 
日 期 型 文本 框 测试 内 容 可 参考 表 3-4。 
表 3-4 日 期 型 文本 框 测试 内 容 


测试 分 类 检查 内 容 
合法 性 检查 输入 合理 有 效 的 日 期 
输入 非法 的 (不 合理 的 ) 日 期 ,如 0 月 5 日 4 月 31 日 .1919 年 2 月 29 日 ,13 月 5 日 等 
异常 值 . 特 殊 | 输入 [空白 (NULL)、 空 格 或 "~~1!@# $ %^&&* (0 十 (|[:" 王 >>? /135: 一 一 等 可 
字符 能 导致 系统 错误 的 字符 


按照 程序 规定 的 合法 格式 ,输入 日 期 进行 测试 ,如 年 /月 /日 ,年 . 月 . 日 、 年 月 日 、 年 -月 -日 
日 期 格式 等 格式 
不 按 程序 规定 的 格式 输入 ,提交 后 是 否 出 错 ,是 否 有 提示 信息 


2. 密码 框 的 测试 


密码 文本 框 (Password) 是 一 种 特殊 的 文本 域 ,用 于 输入 密码 。 当 访问 者 输入 文字 时 ， 
文字 会 被 星 号 或 其 他 符号 代替 ,使 输入 的 文字 被 隐 
藏 。 图 3-10 是 一 个 注册 时 用 的 密码 框 。 

对 密码 框 进行 测试 时 ,可 分 为 登录 密码 框 和 注 
图 3-10 密码 框 册 密 码 框 两 种 情况 。 详 细 测 试 内 容 可 参考 表 3-5 。 


表 3-5 密码 框 的 测试 内 容 


测试 分 类 检查 内 容 
填写 密码 时 ,是 否 密 文 显示 
填写 的 用 户 名 与 密码 正确 ,能 否 正确 登录 
填写 的 用 户 名 正确 ,但 密码 错误 ,是 否 给 出 提示 信息 
登录 验证 时 是 否 区 分 大 小 写 
登录 密码 框 | 多 次 登录 失败 (三 次 ,根据 网 站 的 设计 而 定 ) ,是 否 阻止 此 用 户 再 次 尝试 登录 
输入 超 长 字符 串 是 否 出 错 
是 否 支持 复制 .粘贴 .删除 功能 
是 否 支持 Tab 键 ,上 下 键 (个 、y) ,左右 键 (< 一 ,一 ) \ 回 车 键 等 
是 否 能 防范 注入 式 攻 击 ,例如 密码 输入 or 1=1 
填写 符合 要 求 的 密码 ,其 长 度 为 最 大 长 度 
填写 符合 要 求 的 密码 ,其 长 度 为 最 小 长 度 
填写 符合 要 求 的 密码 ,其 长 度 在 最 小 长 度 和 最 大 长 度 之 间 
填写 符合 要 求 的 密码 ,长度 大 于 要 求 的 长 度 
注册 密码 框 | 填写 符合 要 求 的 密码 ,密码 长 度 小 于 要 求 的 长 度 
密码 不 符合 要 求 的 字符 (如 含有 空格 ,不 允许 的 特殊 字符 ) 
密码 不 符合 要 求 时 ,提示 信息 是 否 准 确 、 友 好 
输入 特殊 字符 ,例如 。/“'" \ 二 /html> 等 ,是 否 会 造成 系统 崩溃 
填写 的 密码 是 否 密 文 显示 
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3. 单 选 按 钮 的 测试 


当 提 供 一 组 选项 ,而 所 有 选项 中 只 能 有 一 个 处 于 选 定 状态 时 , 单 选 按钮 (RadioButton) 
是 一 种 理想 的 选择 。 单 选 按 钮 的 标志 是 前 面 有 一 个 圆 环 , 选 中 某 个 选项 时 ,出 现 一 个 小 实心 
圆 点 表示 该 项 被 选中 ,图 3-11 是 性 别 的 单 选 按 钮 。 
在 一 组 单 选 按 钮 选项 中 ,只 能 选中 其 中 一 项 。 一 个 单 


性 别 
Q 旺 2 男 坟 | 选 按钮 被 选 定之 后 ,除非 同一 单 选 按钮 组 中 的 另 一 个 按 旬 
图 3-11 单 选 按钮 代替 它 被 选 定 ,否则 无 法 取消 对 它 的 选择 。 
单 选 按钮 测试 内 容 如 下 。 


(1) 一 组 单 选 按钮 不 能 同时 选中 ,只 能 选中 一 个 。 

(2) 逐一 执行 每 个 单 选 按 钮 的 功能 ,检查 数据 库 对 应 的 数据 是 否 一 致 。 例 如 选择 了 
【 男 】 ,保存 到 数据 库 的 数据 应 该 为 * 男 ”。 

(3) 一 组 执行 同一 功能 的 单 选 按钮 在 初始 状态 时 必须 有 一 个 被 默认 选中 ,不 能 同时 
为 空 。 
(4) 检查 选项 是 否 按 一 定 的 顺序 排列 。 

(5) 检查 是 否 有 默认 选项 。 
(6) 选项 名 和 选项 值 是 否 符合 要 求 。 
(7) 刷新 页 面 后 ,选中 的 值 /默认 值 是 否 取消 掉 了 。 


4. 复 选 框 的 测试 


复 选 框 (CheckBox) 人 允许 在 待 选项 中 选中 一 项 以 上 的 选项 。 每 个 复 选 框 都 是 一 个 独立 
的 元 素 ,都 必须 有 一 个 唯一 的 名 称 。 如 图 3-12 所 示 就 是 一 个 复 选 框 的 例子 。 


(1) 检查 所 有 复 选 框 是 否 可 以 被 同时 选中 。 A 
(2) 检查 所 有 复 选 框 是 否 可 以 被 部 分 选中 。 图 3-12 复 选 框 


(3) 检查 所 有 复 选 框 是 否 可 以 都 不 被 选中 。 

(4) 逐一 执行 每 个 复 选 框 的 功能 ,检查 数据 库 对 应 的 数据 是 否 一 致 。 

(5) 选项 名 和 选项 值 是 否 符合 要 求 ; 存 人 数据 库 后 是 不 是 选项 的 值 。 

(6) 刷新 页 面 后 ,选中 的 值 /默认 值 是 否 取 消 掉 了 。 

(7) 复 选 框 的 值 是 否 被 截断 ,是 否 能 完全 显示 出 来 。 

(8) 选项 是 否 有 序 排列 ,例如 按照 使 用 习惯 , 摆 放 复 选 框 位 置 ,或 者 常用 的 放 前 面 。 


5. 列表 框 的 测试 


如 果 选 项 太 多 ,使 用 单 选 按钮 或 复 选 框 会 占据 屏幕 太 多 空间 ,这 时 可 以 使 用 列表 框 。 列 
表 框 (ListBox) 用 来 创建 一 个 下 拉 列 表 框 或 可 以 复 选 的 列表 框 。 设 计 列 表 框 时 要 认真 考虑 
列表 选项 的 顺序 。 按 照 字母 顺序 或 数字 顺序 排列 选项 ,是 最 容易 想到 的 方式 。 但 是 ,在 某 些 
情况 下 ,列表 中 的 某 些 选项 被 选中 的 频率 远 远 高 于 其 他 选项 ,将 选择 频率 较 高 的 选项 放置 在 
列表 项 端 或 许 更 好 。 图 3-13(a) 就 是 一 个 典型 的 列表 框 ,图 3-13(b) 是 列表 框 选 择 后 的 
情况 。 
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相册 分 类 
校园 情怀 加 
(a) 列表 框 展开 时 (b) 列表 框 选择 后 
图 3-13 列表 框 


列表 框 测试 内 容 如 下 。 

(1) 检查 条 目 内 容 是 否 正确 ,根据 需求 说 明 书 确定 列表 的 各 项 内 容 正 确 , 没 有 丢失 或 
错误 。 

(2) 列表 框 的 内 容 较 多 时 要 使 用 滚动 条 。 

(3) 列表 框 允许 多 选 时 ,要 分 别 检查 Shift 选中 条 目 、 按 Ctrl 选中 条 目 和 直接 用 鼠标 选 
中 多 项 条 目的 情况 。 

(4) 逐一 执行 列表 框 中 每 个 条 目的 功能 ,选中 的 数据 是 否 与 显示 一 致 ; 检查 数据 库 对 
应 的 数据 是 否 与 所 选 的 一 致 。 

(5) 选择 时 ,焦点 移动 到 某 条 目 时 ,其 显示 效果 是 否 与 其 他 条 目 不 同 (例如 字体 的 背景 
颜色 不 同 ) 。 

(6) 选择 时 ,是 否 支 持 键盘 的 上 下 键 ( 个 、y ) ` 回 车 键 .Tab 键 。 


6. 组 合 框 的 测试 


组 合 框 控件 (ComboBox) 与 列表 框 控 件 有 些 类 似 。 组 合 框 不 仅 允许 用 户 在 列表 框 中 选 
择 项 目 , 还 允许 用 户 在 文本 框 中 用 输入 文本 的 方式 来 选择 项 目 或 指定 文本 。 图 3-14 就 是 一 
个 文本 编辑 时 使 用 的 组 合 框 。 


组 合 框 测试 内 容 如 下 。 
Ei 图 lzs 图 [swt 图 (1) 条 目 内 容 正 确 ,其 详细 条 目 内 容 可 以 根据 需 
图 3-14 组 合 框 求 说 明确 定 。 


(2) 逐一 执行 列表 框 中 每 个 条 目的 功能 ,可 参照 
列表 框 的 测试 方法 。 
(3) 检查 能 否 向 组 合 列表 框 输 入 数据 。 
(4) 选择 时 ,是 否 支持 键盘 的 上 下 键 (个 、y ) 、 回 车 键 、Tab 键 。 


7. 文件 上 传 的 测试 


有 时 ,需要 用 户 上 传 自己 的 文件 。 文 件 上 传 框 看 上 去 和 其 他 文本 域 差不多 ,只 是 它 还 包 
含 了 一 个 [浏览] 按钮。 访问 者 可 以 通过 输入 需要 上 传 的 文件 的 路 径 或 者 单 击 [浏览] 按钮 选 
择 需 要 上 传 的 文件 。 如 图 3-15 所 示 为 用 户 上 传 附 件 的 界面 。 
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附件 描述 : 附件 [aa 


图 3-15 上 传 附件 


测试 内 容 如 下 。 

(1) 路 径 是 否 可 以 手工 输入 ; 手工 输入 时 是 否 有 长 度 限制 ; 手动 输入 一 个 不 存在 的 文 
件 地 址 ,是 否 有 提示 。 

(2) 未 选择 文件 ,直接 单 击 【 上 传 】, 是 否 给 出 提示 。 连 续 多 次 选择 不 同文 件 ,检查 系统 
是 否 上 传 最 后 选择 的 文件 。 

(3) 文件 大 小 是 否 有 限制 ; 如 果 上 传 文件 超过 最 大 值 ,是 在 提交 前 校 验 还 是 提交 后 校 
验 ; 能 否 上 传 空 文件 , 即 0 字 节 大 小 的 文件 。 

(4) 文件 格式 是 否 有 限制 ,上 传 文件 支持 哪些 格式 。 下 面 是 一 些 常 见 的 文件 格式 。 

图 片 : gif\jpg、bmp、psd、png 等 ; 

@ 文档 : txt、doc、docx、pdf、xls、xlsx、ppt、pptx 等 ; 

@ 多 媒体 : mp3、wma、mp4、mid.avi、rmvb、rm 等 ; 

@ 压缩 包 : zip、rar,iso 等 ; 

@ 安装 文件 : exe/msi 等 。 

(5) 上 传 文件 是 否 支 持 中 文 名 称 。 如 果 不 支持 中 文 名 称 , 页 面 上 应 给 出 相应 提示 。 

(6) 文件 名 称 长 度 为 最 大 值 .最 小 值 ,或 者 文件 名 是 特殊 字符 (包含 空格 ) ,程序 语句 等 ， 
是 否 会 对 页 面 造成 影响 。 中 文 名 称 是 否 能 正常 显示 。 

(7) 同时 选择 多 文件 时 ,是 否 能 正常 上 传 。 

(8) 重复 上 传 相 同 的 文件 ,是 否 有 获 盖 提示 。 

(9) 确保 上 传 的 文件 必须 能 够 正常 打开 ,上 传 的 图 片 能 正常 显示 。 


8. 文件 下 载 的 测试 


(1) 下 载 内 容 是 否 对 用 户 有 权限 限制 ; 用 户 不 具有 下 载 权限 时 ,是 否 给 出 准确 、 友 好 的 
提示 。 

(2) 右 击 【另存 为 】, 是 否 可 以 正确 下 载 文件 ,并 且 记录 下 载 次 数 ; 使 用 工具 下 载 时 ,能 
否 正确 下 载 , 并 且 记录 下 载 次 数 。 

(3) 单 击 [ 下 载 ] 时 ,是 提示 下 载 还 是 在 页 面 打开 。 

如 果 是 直接 打开 ,检查 其 显示 是 否 正 确 。 对 于 本 机 没有 安装 工具 的 文件 (如 下 载 的 是 
x .pdf 格式 的 文件 ,但 本 机 没有 安装 PDF 的 阅读 器 ) ,是 否 能 够 打开 。 如 果 不 能 打开 ,是 否 
能 给 出 正确 的 提示 。 

对 于 直接 在 页 面 内 打开 的 内 容 是 否 能 够 显示 正常 ,页 面 是 否 美观 。 

如 果 将 下 载 文件 保存 到 本 地 ,是否 能 正确 显示 或 打开 。 

如 果 取 消 下 载 或 者 下 载 失败 ,是否 会 记录 下 载 次 数 或 者 扣除 用 户 的 积分 。 

(4) 下 载 次 数 是 否 被 正确 记录 。 

(5) 当下 载 超大 文件 时 ,检查 磁盘 不 足 时 下 载 的 情况 。 

(6) 重复 下 载 同一 文件 至 同一 目录 ,是 否 有 覆盖 提示 。 
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9. 滚动 条 的 测试 


滚动 条 让 用 户 控制 数值 在 某 指定 范围 内 的 变化 ,通过 用 鼠标 移动 滚动 条 的 位 置 来 获 
得 特定 值 。 对 于 不 能 自动 支持 滚动 的 控件 ,滚动 条 控件 能 帮助 它们 提供 滚动 功能 。 滚 动 
条 分 为 水 平 滚动 条 (HScrollBar) 和 垂直 滚动 条 (VScrollBar) 。 图 3-16 就 是 一 个 滚动 条 的 
例子 。 


查看 :标题 (可 用 通配符 “"); 所 有 系统 分 类 国 || 所 有 个 人 分 类 图 | 不 限 审核 国 | 排序: 


日 志 管 理 
ID 标题 系统 分 类 个 人 分 类 发 布 日 期 回复 数 查看 类 


1 LoadRunner 技术 讨论 未 定义 2013-05-23 0 0 
2 LoadRunner 技术 讨论 未 定义 2013.05.23 0 0 
3 LoadRunner 技术 讨论 未 定义 2013.0423 0 12 
技术 讨论 未 定义 2013.04.23 0 12 
技术 讨论 2013-04-23 0 4 i 
| 局 色 品 咽 铅 自 4 


图 3-16 滚动 条 


深 动 条 测试 内 容 如 下 。 

(1) 滚动 条 的 长 度 根据 显示 信息 的 长 度 或 宽度 及 时 变换 ,这 样 有 利于 用 户 了 解 显示 信 
息 的 位 置 和 百分比 。 

(2) 拖 动 深 动 条 ,检查 屏幕 刷新 情况 ,并 查看 是 否 有 乱码 。 

(3) 用 鼠标 深 轮 控制 深 动 条 ,是 否 有 效 。 

(4) 用 鼠标 单 击 滚动 条 的 上 下 按钮 ,是 否 可 用 。 

(5) 快速 拖 动 滚动 条 ,是 否 会 出 现 抖动 或 闪 屏 的 情况 。 


10. 输入 格式 检查 


输入 格式 检查 主要 是 检查 输入 数据 是 否 按 指定 格式 输入 。 当 用 户 没有 按 指定 格式 
输入 时 ,给 出 提示 信息 ,并 且 提 示 信 息 表达 准确 友好。 下面 是 一 些 常见 有 格式 要 求 的 
数据 。 

(1) 电话 号 码 格式 检查 : 只 接受 数字 ,并 且 长 度 有 限制 。 

(2) 电子 邮件 格式 检查 : 接收 合法 输入 ,对 输入 非法 给 出 提示 信息 。 

(3) 图 片 格式 检查 : 接收 合法 格式 的 图 片 ,对 非法 格式 的 图 片 能 正确 处 理 。 

(4) 文件 格式 检查 : 只 接受 规定 格式 的 应 用 文件 ,非法 格式 的 文件 能 被 正确 处 理 。 

(5) 网 址 格式 检查 : 输入 合法 网 址 ,对 输入 的 非法 网 址 (如 含 特殊 字符 ) 可 正确 处 理 。 
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(6) 邮编 格式 检查 : 只 接受 数字 ,长 度 有 限制 。 
(7) 身份 证 号 码 格式 检查 : 只 接受 数字 ,长 度 有 特殊 规定 。 


3.2.3 表单 按钮 的 测试 


表单 按钮 包括 提交 按钮 .复位 按钮 和 一 般 按钮 。 表 单 按钮 用 于 控制 表单 的 运作 ,如 将 数 
据 传送 到 服务 器 上 或 者 取消 输入 ,或 者 用 表单 按钮 来 控制 其 他 处 理工 作 。 


1. 提交 按钮 (Submit) 


提交 按钮 用 来 将 输入 的 信息 提交 到 服务 器 。 提 交 按 钮 的 测试 内 容 如 下 。 

(1) 按 要 求 填写 表单 数据 后 , 单 击 【提交 了 按钮 ,检查 表单 信息 是 否 被 正确 保存 。 如 果 保 
存在 后 台数 据 库 , 需 要 检查 后 台数 据 库 中 数据 是 否 与 前 台 录 入 内 容 完全 一 致 ,数据 没有 丢失 

(2) 按 要 求 填写 表单 数据 后 ,放弃 提交 ,表单 信息 应 该 不 会 被 保存 。 

(3) 不 按 要 求 填写 表单 数据 时 , 单 击 【提交 按钮 ,检查 表单 信息 是 否 可 以 保存 。 如 果 不 
能 保存 ,是 否 给 出 相应 的 提示 信息 。 

(4) 对 同一 数据 进行 多 次 提交 时 (【 提 交 】>【 返 回 ]> 再 次 【提交 】……), 是 否 可 正确 
处 理 。 

(5) 表单 提交 后 ,重新 打开 表单 进行 删除 或 修改 时 ,是 否 有 提示 内 容 ,重新 提交 时 能 否 
提交 成 功 。 

(6) 验证 提交 表单 是 否 支 持 回 车 键 和 Tab 键 。 如 果 Tab 键 有 效 ,检查 Tab 键 的 顺序 与 
控件 排列 顺序 是 否 一 致 。 一 般 情况 下 Tab 键 是 总 体 从 上 到 下 ,同行 间 从 左 到 右 的 方式 。 


2. 复位 按钮 (Reset) 


复位 按钮 用 来 重 置 整个 表单 ,清除 所 有 输入 的 值 ,并 将 所 有 控件 设置 回 初始 状态 。 重 置 
按钮 在 以 往 很 常见 ,但 是 经 过 一 段 时 间 的 可 用 性 实践 检验 ,发 现 它们 并 不 实用 。 用 户 极 有 可 
能 一 不 小 心 就 单 击 了 复位 按钮 , 重 置 表单 ,使 之 前 辛 辛 苗 苗 输入 的 内 容 化 为 乌有 。 现 在 一 般 
不 鼓励 使 用 复位 按钮 。 

复位 按钮 的 测试 主要 是 验证 重 置 功能 是 否 实现 。 


3. 编辑 按钮 (Edit) 


(1) 修改 数据 后 进行 保存 ,检查 修改 的 数据 是 否 被 正确 保存 。 

(2) 再 次 打开 之 前 添加 的 数据 ,不 做 任何 修改 进行 保存 ,检查 数据 是 否 被 正确 保存 。 
(3) 修改 数据 后 放弃 修改 ,检查 数据 是 否 被 修改 。 

(4) 修改 数据 后 列 印 报表 ,核对 是 否 为 修改 后 的 数据 。 

(5) 将 关键 字 修改 为 与 其 他 关键 字 相 同 是 否 可 以 保存 。 


4. 删除 按钮 (Delete) 


(1) 删除 是 否 有 提示 。 如 果 有 提示 ,提示 信息 是 否 简洁 、 合 理 。 
(2) 删除 之 后 的 焦点 跳 转 是 否 合理 。 
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(3) 删除 之 后 ,检查 数据 界面 及 数据 库 是 否 已 经 删除 数据 (注意 连带 删除 项 目 ) 。 
(4) 删除 数据 时 ,提示 是 否 删除 , 若 选择 【和 否 】 了 ,核实 数据 是 否 没有 被 删除 。 


5. 其 他 按钮 


除了 以 上 按钮 外 ,页 面 上 可 能 还 包含 其 他 按钮 ,如 浏览 器 的 【前进 【后 退 【 刷 新 3 按 
钮 。 当 单 击 【刷新 3 按钮 时 ,是 否 会 造成 数据 库 错误 或 页 面 报错 。 检 查 单 击 【后 退 ] 或 [前 进 】 


按钮 后 ,是 否 会 出 现 页 面 错误 ,包括 页 面 错 误 、 数 据 错 误 和 安全 性 问题 。 
3.2.4 表单 数据 检查 


当 用 户 通 过 表单 提交 信息 的 时 候 ,都 希望 表单 能 正常 工作 。 例 如 用 户 使 用 表单 进行 在 
线 注册 ,要 确保 提交 按钮 能 正常 工作 ; 当 用 户 注册 完成 后 应 返回 注册 成 功 的 消息 。 使 用 表 
单 收集 配送 信息 ,应 确保 程序 能 够 正确 处 理 这 些 数据 ,最 后 能 让 客户 收 到 包 庄 。 要 测试 这 些 
程序 ,需要 验证 服务 器 能 否 正确 保存 这 些 数 据 , 而 且 后 台 运 行 的 程序 能 否 正确 解释 和 使 用 这 


些 信息 。 


进行 测试 时 ,数据 检查 包括 两 个 方面 。 一 方面 要 检查 表单 中 的 数据 是 否 与 数据 库 中 一 


致 ; 另 一 方面 ,还 要 检查 数据 库 中 的 数据 更 新 后 ,表单 中 的 数据 是 否 同步 更 新 。 


例如 : 


(1) 检查 下 拉 列 表 中 的 数据 是 否 和 服务 器 端 一 致 ; 
(2) 检查 服务 器 端的 数据 更 新 后 ,下 拉 列 表 中 的 数 
据 是 否 同步 更 新 ; 


(3) 检查 更 新 后 的 列表 数据 显示 是 否 合理 ; 


(4) 单 击 浏览 器 【前 进 】【x 后 退 ] 工 刷新 ] 按 钮 ,是 否 


会 造成 数据 库 重 现 或 页 面 报错 。 


3.2.5 表单 测试 用 例 设 计 


下 面 以 CSDN 会 员 登录 页 面 为 例 说明 表 单 测试 的 
方法 和 内 容 。 图 3-17 为 CSDN 会 员 登 录 界 面 , 表 3-6 为 


CSDN 会 员 登 录 页 面 的 测试 用 例 。 
表 3-6 CSDN 会 员 登 录 页 面 的 测试 用 例 


账号 登录 


口 下 次 自动 登录 


五 记 密码 


图 3-17 CSDN 会 员 登 录 页 面 


项 目 名 称 登录 页 面 测试 项 目 编号 Function_Test_Login 

模块 名 称 登录 页 面 开发 人 员 Xxx 

测试 类 型 功能 测试 参考 信息 需求 规格 说 明 书 、 设 计 说 明 书 

优先 级 高 用 例 作者 Xxx 设计 日 期 XxX 
测试 方法 黑 盒 测试 (手工 测试 ) 测试 人 员 xx 测试 日 期 xx 
测试 对 象 登录 页 面 

测试 目的 验证 网 站 登录 功能 

前 置 条 件 正确 的 用 户 名 和 密码 : zhang,test985 
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续 表 
实际 
测试 项 用 例 号 。 操作 描述 输入 数据 期 望 结果 
结果 
输入 用 户 和 名 和 密码 ，| 用 户 各 zhang 
1 | 单 击 [登录 J 按钮 。 | 密码 : test985 登录 成 功 , 转 到 正确 的 页 面 
输入 用 户 名 和 密码 ，| 用 户 各 : liming 村 
2? | 单 击 [登录 按钮 。 “| 密码 : 878980 提示 :用户 名 不 存在 
输入 用 户 名 和 密码 ，| 用 户 各: zhang 后 面 有 空格 
3 | 单 击 [登录 按钮 。 | 密码 : test985 登录 成 功 
输入 用 户 名 和 密码 ，| 用 户 和 名: zhang 前 面 有 空格 
4 | 单 击 [登录 J 按钮 。 | 密码 : test985 登录 成 功 
输入 用 户 名 和 密码 ，| 用 户 名 zhang | 
5 | 单 击 [ 登 录 ] 按 钮 。 | 密码 ; test985 后 面 有 空格 | 提示 * 密码 错误 
6 输入 用 户 名 和 密码 ，| 用 户 名 : Zhang 提示 : 用 户 名 不 存在 或 密码 
单 击 【 登 录 ] 按 钮 密码 : test985 错误 
7 | 输入 用 户 名 和 密码 ，| 用 户 各 ， zhang 提示 ;用 户 名 不 存在 或 密码 
单 击 [ 登 录 ] 按 钮 密码 : teST985 错误 
。 | 输入 用 户 名 和 密码 ， 2 zhang 用 户 名 中 间 | 提示 ， 用 户 名 不 存在 或 密码 
单 击 [登录 J] 按钮 密码 : test985 错误 
9 | 单 击 [登录 ] 按 乌 。 | 全 久 各 空 提示 请 输入 用 户 名 和 密码 
输入 用 户 名 , 单 击 | 用 户 名 : zhang ” 
功 | !” | 【登录 按钮 密码 : 空 所 示 4 请 柏 人 窗 码 
能 输入 密码 , 单 击 〖 登 | 用 户 名 , 空 本 
测 | 2 | 录 ] 按 钮 密码 : test985 提示 : 请 输入 用 户 名 
试 在 用 户 名 框 中 输入 | 用 户 名 : zhang123234…kkkk 辐 
12 | 超 长 字符 串 密码 ,test985 提示 : 用 户 名 不 存在 


在 密码 框 中 输入 超 | 用 户 名 : zhang 二 
四 长 字符 串 密码 :test985dd…zhangtttt 提示 ; 密码 错误 
登录 成 功 后 , 单 击 
座 | [注入 刺 纪 用 户 处 于 退出 状态 
用 户 注销 后 , 单 击 
15 [登录] 按钮 打开 登录 页 面 
登录 成 功 后 , 单 击 
w|i 用 户 仍然 处 于 登录 状态 
登录 成 功 后 ,在 其 他 | 用 户 各 ,由 
17 | 计算 机 上 用 同样 的 | 密码 a 提示 : zhang 不 能 重复 登录 
用 户 名 登录 Wy 
多 个 不 同 的 用 户 登 用 户 信 息 正确 ,没有 串 号 
18 录 系 统 检查 用 户 信息 问题 
输入 用 户 名 和 密码 ， 
19 | 勾 选 下 次 自动 登录 ， Mar 第 二 次 能 自动 登录 
单 击 [登录 按钮 的 
输入 用 户 名 和 密码 ， 
20 | 未 义 选 下 次 自动 登 | 用 局 各 ens 第 二 次 登录 需要 输入 密码 
: test985 


录 , 单 击 【 登 录 ] 按 钮 
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续 表 
实际 
测试 项 用 例 号 操作 描述 输入 数据 期 望 结 果 二 
结果 
21 | 箱 信 用 户 名 ' 芒 | 用 户 名 : zhang 光标 跳 转 到 窗 码 杠 
ab 键 
用 户 名 : zhang 光标 跳 到 【下 次 登录 选择 
22 | 输入 密码 , 按 Tab 键 密码 : test985 框 上 
输入 密码 , 按 三 次 | 用户 名 : zhang 二 
24 ee 用 户 名 : zhang 光标 左右 移动 
输入 用 户 名 和 密码 ，| 用 户 名 : zhang 
本 25 | 按 回 车 键 密码 : test985 登录 成 功 
性 | 26 和 有 用 户 名 : zhang 依次 删除 字符 
测 ckspace 键 
输入 用 户 名 ,选中 输 
a 区 | 大 Piete 杰 用 户 名 : zhang 删除 输入 内 容 
输入 用 户 名 ,选中 输 
人, 按 Ctrl 十 C 键 ,在 
28 | Word 中 按 Ctrl 十 V | 用 户 名 : zhang Word 中 可 复制 到 用 户 名 
键 
输入 密码 ,选中 输 
入 , 按 Ctrl+C 键 ,在 | 用 户 名 : zhang 
加 Word 中 按 Ctrl 十 V | 密码 : test985 Word 中 不 可 复制 到 密码 
键 
30 | 输入 用 户 名 和 密码 ，| 用 户 名 ; zhang 通过 加 密 方式 发 送 到 Web 
单 击 【 登 录 ] 按 钮 密码 : test985 服务 器 
输入 用 户 名 和 密码 ，| 用 户 名 ， zhang a 
31 | 单 击 [登录 J 按钮 。 | 密码 : test985 密码 框 使 用 x* 显示 内 容 
32 输入 用 户 名 和 错误 | 用 户 名 : zhang 提示 : 密码 错误 ,账号 被 
密码 ,连续 登录 三 次 | 密码 : te9999 锁定 
登录 后 ,长 时 间 未 在 
33 | 页 面 活 动 ,然后 再 次 提示 : 请 输入 密码 
单 击 页 面 
和 登录 成 功 后 ,复制 
性 34 | URL 地 址 ,在 其 他 提示 : 请 重新 登录 
测 计算 机 上 打开 页 面 
试 用 户 已 经 处 理 登 录 
状态 , 打开 新 的 页 | 用 户 名 : zhang 本 
35 | 面 ,用 同一 用 户 名 重 | 密码 : test985 提示 化 已 经 避 及 
复 登 录 
用 户 名: $username 一 
输入 用 户 名 和 密码 ，| 1'or'1'='1 二 
36 | 单 击 [登录 了 按钮 。 | 密码 :$ username 一 1'or'1 | 提示 : 用 户 名 不 存在 
一 1 
37 | 输入 用 户 名 用 户 名 : 二 script 二 alert 提示 , 用 户 名 不 存在 


(\'xss')</script> 
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续 表 
实际 
测试 项 | 序号 描述 
郊 | 6 | 界面 布局 是 否 合理 
面 | 39 | 色彩 是 否 协调 美观 
加 40 | 文本 框 .按钮 的 长 度 和 高 度 是 否 符合 要 求 
41 | 错误 提示 信息 是 否 与 操作 一 致 ,是 否 友好 
测试 项 序号 操作 描述 
42 | 使 用 不 同 浏览 器 打开 页 面 ,查看 页 面 显示 是 否 正常 ,功能 是 否 可 用 
43 | 设置 不 同 分 辩 率 ,查看 页 面 显示 情况 
性 | 44 | 使 用 不 同 操作 系统 ,查看 网 站 是 否 可 正常 访问 
a 45 | 使 用 移动 设备 登录 网 站 ,查看 网 站 是 否 可 正常 访问 
46 | 检查 与 文字 处 理 软件 的 兼容 性 ,如 拷贝 表格 到 Excel 中 ,是 否 可 正确 处 理 


@.3 Cookie 测试 


3.3.1 什么 是 Cookie 


由 于 HTTP 是 一 种 无 状态 的 协议 ,为 弥补 HTTP 存在 的 不 足 ,出 现 了 Cookie 这 一 状 
态 管 理 机 制 。Cookie 是 对 HTTP 功能 的 扩展 ,可 以 实现 对 Web 客户 端 与 Web 服务 器 端 连 
接 状 态 的 管理 。Cookie 技术 最 先 被 Netscape 公司 引入 到 Navigator 浏览 器 中 。 之 后 ， 
World Wide Web 协会 支持 并 采纳 了 Cookie 标准 ,微软 公司 也 在 其 浏览 器 Internet 
Explorer 中 使 用 了 Cookie。 现 在 , 绝 大 多 数 浏览 器 都 支持 Cookie 或 兼容 Cookie 机 制 的 
使 用 。 


1. Cookie 定义 


Cookie 是 一 种 能 够 让 网 站 服务 器 把 少量 数据 存储 到 客户 端的 硬盘 或 内 存 , 或 是 从 客户 
端的 硬盘 读 取 数据 的 一 种 技术 。Cookie 是 当 用 户 浏览 某 网 站 时 ,由 Web 服务 器 置 于 用 户 
硬盘 上 的 一 个 非常 小 的 文本 文件 , 它 可 以 记录 用 户 的 用 户 ID 密码 浏览 过 的 网 页 ,停留 的 
时 间 等 信息 。 当 此 用 户 再 次 来 到 该 网 站 时 ,网 站 通过 读 取 Cookie, 得 知 该 用 户 的 相关 信息 ， 
就 可 以 做 出 相应 的 动作 ,如 在 页 面 显示 欢迎 用 户 的 标语 ,或 者 让 用 户 不 用 输入 ID、 密 码 就 直 

从 本 质 上 来 讲 ,Cookie 可 以 看 作 是 客户 端 用 户 的 身份 证 。 但 Cookie 不 能 作为 代码 执 
行 ,也 不 会 传送 病毒 。Cookie 为 个 人 所 专 有 ,并 只 能 由 提供 它 的 服务 器 来 读 取 。Cookie 中 
保存 的 文本 信息 以 “名 称 / 值 ” 对 的 形式 存储 ,一 个 “名 称 / 值 ”对 仅仅 是 一 条 命名 的 数据 。 
Cookie 中 的 内 容 大 多 数 经 过 了 加 密 处 理 , 因 此 在 一 般 用 户 看 来 只 是 一 些 毫 无 意义 的 字母 数 
字 组 合 ,只 有 对 应 的 Web 应 用 程序 才 知 道 这 些 信 息 真正 的 含义 。 
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2. Cookie 的 工作 原理 


Cookie 使 用 HTTP 头 部 来 传递 和 交换 信息 。Cookie 机 制定 义 了 两 种 HTTP 的 报 文 
头 部 ,一 种 是 Set-Cookies Header, 另 一 种 是 Cookies Header。Set-Cookies Header 存放 在 
Web 服务 器 站 点 的 响应 头 部 中 , 当 用 户 通过 Web 浏览 器 首次 打开 Web 服务 器 的 某 一 站 点 
时 ,Web 服务 器 先 根据 用 户 端的 信息 创建 一 个 Set-Cookies Header, 并 添加 到 HTTP 响应 
报 文中 发 送 给 Web 客户 端 。Cookies Header 存放 在 Web 客户 端的 请 求 头 部 中 , 当 用 户 通 
过 Web 浏览 器 再 次 访问 此 Web 站 点 时 , Web 浏览 器 根据 要 访问 的 Web 站 点 的 URL 从 客 
户 端的 计算 机 中 取 回 Cookie, 并 添加 到 HTTP 请 求 报 文中 发 送 给 Web 服务 器 。 

Cookie 的 工作 过 程 如 图 3-18 所 示 。 


(D 发 起 连接 请 求 (2) 产生 Set-Cookies 
(4) 读 取 Set-Cookies lender 


Request Header (3) 返回 响应 报 文 


5) 再 次 发 起 连接 请 求 


(6) 检查 Cookies 内 
容 ， 产 生 应 答 


3-18 ”Cookie 的 工作 过 程 示意 图 


(1) Web 客户 端 通过 浏览 器 向 Web 服务 器 发 起 连接 请 求 , 通 过 HTTP 报 文 请 求 行 中 
的 URL 打开 某 一 Web 页 面 。 

(2) Web 服务 器 接收 到 请 求 后 ,根据 客户 端 提供 的 信息 产生 一 个 Set-Cookies Header。 

(3) 将 生成 的 Set-Cookies Header 通过 Response Header 存放 在 HTTP 报 文中 回 传 给 
Web 客户 端 ,建立 一 次 会 话 连接 。 

(4) Web 客户 端 收 到 HTTP 应 答 报 文 后 ,如 果 要 继续 已 建立 的 这 次 会 话 , 则 将 Cookie 
的 内 容 从 HTTP 报 文中 取出 ,形成 一 个 Cookie 文本 文件 存储 在 客户 端 计 算 机 的 硬盘 中 或 
保存 在 客户 端 计算 机 的 内 存 中 。 

(5) 当 Web 客户 端 再 次 向 Web 服务 器 发 起 连接 请 求 时 , Web 浏览 器 首先 根据 要 访问 
站 点 的 URL 在 本 地 计算 机 上 寻找 对 应 的 Cookie 文本 文件 或 在 本 地 计算 机 的 内 存 中 寻找 对 应 
的 Cookie 内 容 。 如 果 找 到 , 则 将 此 Cookie 内 容 存放 在 HTTP 请 求 报 文中 发 给 Web 服务 器 。 

(6) Web 服务 器 接收 到 包含 Cookie 内 容 的 请 求 后 ,检索 其 Cookie 中 与 用 户 有 关 的 信 
息 ,并 根据 检索 结果 生成 一 个 客户 端 所 请 求 的 页 面 应 答 传递 给 客户 端 。 

Web 浏览 器 的 每 一 次 页 面 请 求 (如 打开 新 页 面 、. 刷 新 已 打开 的 页 面 等 ) ,都 会 与 Web 服 
务 器 之 间 进 行 Cookie 信息 的 交换 。 


3. Cookie 的 类 型 


Cookie 总 是 保存 在 客户 端 中 , 按 在 客户 端 中 的 存储 位 置 ,可 分 为 内 存 Cookie( 会 话 
Cookie) 和 硬盘 Cookie。 内 存 Cookie 由 浏览 器 维护 ,保存 在 内 存 中 ,浏览 器 关闭 后 就 消失 
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了 ,其 存在 时 间 是 短暂 的 。 硬 盘 Cookie 保存 在 硬盘 里 ,有 一 个 过 期 时 间 ,除非 用 户 手工 清理 
或 到 了 过 期 时 间 , 硬 盘 Cookie 不 会 被 删除 ,其 存在 时 间 是 长 期 的 。 当 创建 了 此 类 Cookie 
后 ,只 要 在 其 有 效 期 内 , 当 用 户 访问 同一 个 Web 服务 器 时 浏览 器 首先 要 检查 本 地 的 Cookie， 
并 将 其 原样 发 送 给 服务 器 。 


4. Cookie 的 设置 


Cookie 文件 是 在 无 声 无 息 中 伴随 浏览 器 进入 我 们 本 地 硬盘 的 , 当 我 们 浏览 某 个 站 点 
时 ,该 站 点 很 可 能 将 记录 我 们 隐私 的 Cookie 文件 上 传 到 本 地 硬盘 。 那 么 如 何 来 防范 阻止 
Cookie 文件 泄露 用 户 的 隐私 呢 ? 

(1) 设置 Cookie 

用 户 可 以 通过 浏览 器 设置 计算 机 接收 Cookie 文件 .选择 性 接收 或 阻止 Cookie, 具 体 方 
法 如 下 。 

@ 进入 系统 打开 IE 浏览 器 。 

@ 通过 菜单 栏 中 的 [工具 】>【Internet 选项 3 打开 Internet 设置 窗口 。 

@ 打开 [隐私 3 标签 , 拖 动 页 面 中 的 滑 块 可 选择 不 同 的 安全 级 别 ,每 个 安全 级 别 代表 着 
不 同 的 含义 。 

将 设置 的 滑动 按钮 调节 到 最 低 , 如 图 3-19(a) 所 示 , 这 样 将 接受 任何 网 站 的 Cookie。 

将 滑动 按钮 调节 到 “低级 别 , 该 级 别 将 阻止 没有 合同 隐私 策略 的 第 三 方 Cookie, 同 时 ， 
对 没有 经 过 用 户 允 许 的 第 三 方 读 取 用 户 信 息 的 Cookie 进行 限制 保存 。 

拖 动 滑 块 ,将 安全 级 别 设置 为 “高 ”, 该 级 别 将 阻止 所 有 没有 合同 隐私 策略 的 网 站 的 所 有 
Cookie, 同 时 阻止 使 用 个 人 可 标识 信息 而 没有 用 户 的 明确 许可 的 Cookie。 

将 设置 的 滑动 按钮 调节 到 最 高 ,如 图 3-19(b) 所 示 。 这 样 将 阻止 来 自 所 有 网 站 的 
Cookie, 而 且 计 算 机 上 已 有 Cookie 文件 都 将 不 能 被 网 站 读 取 , 这 样 隐私 也 不 会 再 泄露 了 。 


[| 知 规 安全] 隐私。 [内 容 | 连接 | 程序 | 高 级 | 
设置 一 
习 。 选择 Internet 区 域 设置 总 选择 Internet 区 域 设置 。 
|] 接受 所 有 Cookie 图 止 所 有 Ceskie 
| - ookie, - 自 所 有 网 站 的 所 有 cookis 
| RE ene emeris | T - A Fe 
导 AW ] (高 站 点 G@) 各 KG) 高 级 WD” ] ( 赎 信 wm) ] 
漳 出 究 口 阴 目 各 序 一 一 一 一 一 一 一 一 一 一 一 一 一 弹出 窗口 阴 由 程序 一 一 一 一 一 一 一 一 
站 阻止 显示 大 多 数 弹 出 窗口 : 阻止 旺 示 大 多 数 弹 出 窗口。 CE 
团 打 开 漳 出 窗口 阻止 程序 @) 团 打开 漳 出 窗口 阻止 程序 @) 
Inprivate InPrivate 
口 不 收集 用 于 InPrivate 第 光 的 数据 下 ) 而 口 不 收集 用 于 IaPrivate 第 达 的 数据 EE) 
回 在 InPrivat。 浏览 启动 时 禁用 工具 栏 和 扩展 江 ) 回 存 Iaprivate 浏览 自动 时 禁用 工具 栏 和 扩展 位) 
Ci ] [Caw ) 证 取消 ] [所 用 由 ) 
(a) 接受 所 有 Cookie (b) 阻 止 所 有 Cookie 
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如 果 只 想 阻 止 个 别 网 站 的 Cookie, 还 可 单 击 【 站 点 3 按钮 ,在 【每 站 点 的 隐私 操作 】 对 话 
框 的 [网 站 地 址 3 文本 框 中 输入 拒绝 访问 的 网 站 , 单 击 【 阻 止 3 按 钮 ,将 其 添加 到 下 面 的 列表 
中 。 当 选择 非常 苛刻 的 安全 级 别 后 ,一 些 不 想 被 阻止 的 网 站 也 被 拒绝 访问 ,此 时 ,也 可 在 【每 
站 点 的 隐私 操作 对 话 框 中 设置 总 是 允许 访问 的 网 站 。 在 【网 站 地 址 】 文 本 框 中 输入 允许 访 
问 的 网 站 , 单 击 [ 人 允许 按钮 ,将 其 添加 到 下 面 的 列表 中 ,如 图 3-20 所 示 。 

(2) 删除 Cookie 

在 IE 中 ,Cookie 与 缓存 的 临时 文件 存储 在 一 起 。 可 使 用 IE 中 的 删除 Cookies 文件 功 
能 来 删除 所 有 Cookie, 也 可 直接 找到 存储 Cookie 文 件 的 目录 进行 删除 。 通 过 下 列 步 又 即 可 
删除 Cookie: 打开 IE 浏览 器 ,选择 菜单 [工具 】>【Internet 选项 】 ,如 图 3-21 所 示 。 


Internet 选项 
寓 珊 [安全 [隐私 | 内容 [连接 [程序 


每 站 点 的 隐私 操作 


全 若 要 创建 主页 一 
管理 站 点 
i 人 向 ReRAT Cookie 的 网 站 ,不管 其 隐秘 第 略 如 


准确 输入 您 要 管理 的 网 站 的 地 址 ， 炬 后 单 击 【 人 允许 】 或 【阻止 】 。 


主页 疏 定 已 开启 ， 更换 主页 请 点 2 


[合用 当前 页 C) [使 用 默认 什 FE) ] [使 用 空白 页 @) 


若 要 从 托管 站 点 列表 中 册 队 站 点 ， 请 选择 网 站 名 称 并 单 击 【 册 除 】 控 钮 。 浏览 历史 记录 
ee 全 了 、 历史 记录 、Cooki e、 保 存 的 密码 和 网 页 
HT 回 退 出 时 其 除 浏 览 历史 记录 QL) 


外 观 
[下 语言 Q) 字体 辅助 功能 于) 


Cu ] 
图 3-20 【每 站 点 的 隐私 操作 ] 对 话 框 图 3-21 Internet 选项 


勾 选 [退出 时 删除 浏览 历史 记录 】 选 项 。 单 击 【 删 除 ] 按 钮 将 弹出 对 话 框 ,如 图 3-22 所 
示 。 勾 选 Cookie 选项 , 单 击 【 删 除 ] 按 钮 ,对 话 框 将 消失 ,这 样 就 把 所 有 Cookie 文件 删除 
掉 了 。 

(3) Cookie 自动 提示 

如 果 想 确切 地 知道 Web 系统 在 什么 地 方 使 用 了 Cookie, 可 以 对 下 浏览 器 进行 一 些 设 
置 ,让 匡 浏 览 器 在 使 用 到 Cookie 时 自动 弹出 提示 窗口 。IE 的 设置 方法 是 : 【工具 】 一 
【Internet 选项 】 ,切换 到 [隐私 3 页面, 如 图 3-23 所 示 。 

单 击 【 高 级 按钮 ,出 现 [ 高 级 隐私 策略 设置 ] 页 面 ,如 图 3-24 所 示 。 

人 勾 选 [替代 自动 cookie 处 理 〗 选 项 ,在 【第 一 方 Cookie 处 选择 [提示 了 .在 【第 三 方 Cookie] 处 
也 选择 【提示 】, 然 后 单 击 【确定 按钮 。 这 样 , 当 Web 页 面 使 用 到 Cookie 时 ,IE 浏览 器 会 自 
动 提示 ,界面 如 图 3-25 所 示 。 

单 击 其 中 的 [详细 信息 】, 可 以 看 到 如 图 3-26 所 示 的 Cookie 详细 信息 ,包括 Cookie 的 名 
称 、 来 源 、 路 径 , 数 据 、 截 止 期 限 等 信息 。 


删除 浏览 的 历史 记录 
留 收 霹 夹 同 站 数据 E) 


留 启用 收藏 赤 网 站 的 Cookie 和 Internet 恪 时 文件 ， 以 保留 
选项 和 并 提高 显示 速度 。 


0 时 计 二 


吕 本 ,以便 快速 查 看 。 


历史 记录 0D 
对 3 


口 表单 数据 全) 
A 


口 者 内 S 
警 录 以 前 访问 过 的 网 站 时 ， 自 动 填充 保存 的 密码 。 


口 Tnprivat。 第 选 数 志 CI) 
InFrivats 第 选 使 用 已 保存 数据 检测 网 站 在 何 处 自动 共享 您 访问 
的 详细 信息 * 


TM | 
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| 高级 隐私 策略 设置 


i 


回 管 代 自动 cookie 处 理 中 ) 


第 一 方 Cookie 
加 接受 内 ) 
口 阻止 @) 
回 提 示 吕 ) 
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Internet 选项 
常规 安全 隐私 [内容 
设置 


| 连接 【程序 


选择 Internet 区 域 设置 。 


i 


! - 阻止 没有 紧 病 陷 科 政策 的 第 三 方 C 
到 ne 


Se i ore 


弹出 窗口 阻止 程序 
阻止 明示 大 多 数 弹 出 窗口 。 


团 打 开 弹 出 窗口 阻止 程序 旺 ) 


Inprivate 
口 不 收集 用 于 Inprivate 征 志 的 数据 中) 
回 在 Iaprivate 浏览 启动 时 禁用 工具 1 


确定 
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时 用 + 这 汕 # NE 


口 将 委 殉 吉 守 成 用 到 业 自 下 同 引 的 所 有 -soskis 罗 ) 


图 3-24 【高 级 隐私 策略 设置 页面 


[cookie 四] [ 获 止 ceokie@)] [详细 信息 吧 ] 


图 3-25 隐私 警报 


这 


口 将 我 的 决定 应 用 到 来 自 此 网 站 的 所 有 cookie m) 


EEC 


Cookie 信息 


RE 


[baidu com 


1/ 


olhre61060 


|2014 年 2 月 2 日 星期 日 10:28:44 安全 


图 3-26 查看 Cookie 信息 


97 


98 


A 


Web 应 用 程序 测试 


5. Cookie 的 应 用 


几乎 所 有 的 网 站 设计 者 在 进行 网 站 设计 时 都 使 用 了 Cookie, 因 为 他 们 都 想 给 浏览 网 站 
的 用 户 提供 一 个 更 友好 的 、 人 文化 的 浏览 环境 ,同时 也 能 更 加 准确 地 收集 访问 者 的 信息 。 
(1) 网 站 浏览 人 数 管理 
由 于 代理 服务 器 ,缓存 等 的 使 用 ,唯一 能 帮助 网 站 精确 统计 来 访 人 数 的 方法 就 是 为 每 个 
访问 者 建立 一 个 唯一 的 ID。 使 用 Cookie, 网 站 可 以 完成 以 下 工作 : 测定 多 少 人 访问 过 ; 测 
定 访问 者 中 有 多 少 是 新 用 户 ( 即 第 一 次 来 访 ) ,多 少 是 老 用 户 ; 测定 一 个 用 户 隔 多 长 时 间 访 
问 一 次 网 站 ( 即 访问 频 度 ) 。 

通常 情况 下 ,网 站 设计 者 是 借助 后 台数 据 库 来 实现 以 上 目的 的 。 当 用 户 第 一 次 访问 该 
网 站 时 ,网 站 在 数据 库 中 建立 一 个 新 的 ID, 并 把 ID 通过 Cookie 传送 给 用 户 。 用 户 再 次 来 
访 时 ,网 站 把 该 用 户 ID 对 应 的 计数 器 加 1, 得 到 用 户 的 来 访 次 数 或 判断 用 户 是 新 用 户 还 是 
老 用 户 ,因此 也 知道 了 此 用 户 多 长 时 间 访 问 一 次 。 

(2) 对 站 点 进行 定制 

为 了 查看 每 个 用 户 的 不 同 之 处 ,站 点 可 以 存储 用 户 的 参数 。 例 如 ,一些 站 点 提供 改变 内 
容 , 布 局 .颜色 设置 的 能 力 , 人 允许 用 户 输入 自己 的 信息 ,然后 通过 这 些 信 息 对 网 站 的 一 些 参数 
进行 修改 ,以 定制 网 页 的 外 观 ,或 者 根据 用 户 的 邮政 编码 提供 定制 的 天 气 信 息 。 

(3) 记录 用 户 名 和 密码 

使 用 Cookie 记录 用 户 名 和 密码 。 在 用 户 首次 填写 登录 数据 后 ,提交 表单 进行 登录 验 
证 ,如 果 用 户 名 和 密码 正确 , 则 把 用 户 名 和 密码 保存 在 客户 端 。 当 用 户 再 次 登录 时 ,服务 器 
首先 读 取 客 户 端 Cookie 信息 ,如 果 存在 用 户 名 和 密码 数据 则 直接 登录 ,否则 显示 登录 页 面 。 

(4) 在 电子 商务 站 点 中 标识 用 户 

电子 商务 站 点 能 够 实现 类 似 “ 购 物 车 ”和 “快速 付款 ”这 些 功能 ,用 包含 用 户 ID 的 
Cookie 来 跟踪 客户 , 当 用 户 往 “购物 车 ”中 放 了 新 东西 时 ,网 站 就 能 记录 下 来 ,并 在 网 站 的 数 
据 库 里 对 应 该 用 户 的 ID 记录 。 当 他 “下 订单 "时 ,网 站 通过 ID 检索 数据 库 , 就 知道 他 采购 了 
哪些 商品 。 若 是 没有 Cookie 或 者 类 似 的 技术 ,将 不 可 能 实现 上 述 的 功能 。 

在 一 般 的 事例 中 ,网 站 的 数据 库 能 够 保存 用 户 所 选择 的 内 容 、 浏 览 过 的 网 页 在 表单 里 填 
写 的 信息 等 ; 而 只 有 用 户 的 ID 是 存储 在 用 户 计算 机 上 的 Cookie 里 ,用 以 辨识 用 户 的 身份 。 


3.3.2 Cookie 测试 


如 果 Web 应 用 系统 使 用 了 Cookie, 就 必须 检查 Cookie 是 否 能 正常 工作 。 测 试 的 内 容 
包括 Cookie 是 否 起 作用 ,存储 的 内 容 是 否 正确 ,是 否 按 预 定 的 时 间 进 行 保存 ,保存 时 是 否 加 
密 , 刷 新 页 面 对 Cookie 有 什么 影响 ,能 否 禁用 Cookie 等 。 


1. 禁止 Cookie 


禁止 Cookie 是 最 简单 的 Cookie 测试 方法 ,检查 当 Cookie 被 禁止 时 Web 系统 会 出 现 什 
么 问题 。 首 先 关 闭 所 有 浏览 器 实例 ,删除 测试 机 器 上 的 所 有 Cookie。 设 置 IE 禁止 Cookie， 
可 以 通过 把 I 下 的 [隐私] 设置 为 【阻止 所 有 Cookie】 ,如 图 3-19(b) 所 示 。 

然后 运行 Web 系统 的 所 有 主要 功能 ,很 多 时 候 会 出 现 功 能 不 能 正常 运行 的 情况 。 如 果 
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用 户 必须 激活 Cookie 使 用 设置 才能 正常 运行 Web 系统 , 则 需要 检查 Web 服务 器 是 否 能 正 
确 识别 出 客户 端的 Cookie 设置 情况 。 当 用 户 禁 止 了 Cookie 时 , Web 服务 器 应 该 发 送 一 个 
提示 页 面 ,告诉 用 户 激活 Cookie 设置 才能 使 用 系统 。 


2. 有 选择 性 地 拒绝 Cookie 


这 种 测试 方法 的 目的 是 验证 这 种 情况 : 如 果 某 些 Cookie 被 接受 , 某 些 Cookie 被 拒绝 ， 
Web 系统 会 发 生 什么 事情 。 

首先 删除 计算 机 上 的 所 有 Cookie, 然 后 设置 IE 的 Cookie 选项 , 当 Web 系统 试图 设置 
一 个 Cookie 时 弹出 提示 。 然 后 运行 Web 系统 的 所 有 主要 功能 。 在 弹出 的 Cookie 提示 中 ， 
接受 某 些 Cookie, 拒 绝 某 些 Cookie。 检 查 Web 系统 的 工作 情况 ,看 Web 服务 器 是 否 能 检测 
出 某 些 Cookie 被 拒绝 了 ,是 否 出 现 正 确 的 提示 信息 。 有 可 能 Web 系统 会 因为 这 样 而 出 现 
错误 .崩溃 .数据 错乱 ,或 其 他 不 正常 的 行为 。 


3. 篡改 Cookie 


如 果 某 些 存储 下 来 的 Cookie 被 复 改 了 ,或 者 被 删除 了 ,Web 系统 会 出 现 什么 问题 吗 ? 

测试 过 程 中 应 该 查找 是 否 有 业务 逻辑 是 依赖 Cookie 存储 值 而 进行 的 ,如 果 有 , 则 尝试 
修改 Cookie 的 值 ,看 是 否 导致 功能 不 正常 ,或 者 业务 逻辑 的 混乱 。 另 外 ,也 可 以 尝试 有 选择 
性 地 删除 Cookie。 在 运行 Web 系统 一 段 时 间 后 ,把 其 中 某 些 Cookie 文件 删除 掉 , 然 后 继续 
使 用 Web 系统 ,看 会 出 现 什么 情况 ,是否 能 恢复 、 是 否 有 数据 丢失 或 错乱 。 


4. Cookie 加 密 测 试 


检查 存储 的 Cookie 文件 内 容 , 看 是 否 有 用 户 名 密码 等 敏感 信息 存储 ,并 且 未 被 加 密 处 
理 。 某 些 类 型 的 数据 即使 是 加 密 了 也 绝对 不 能 存储 在 Cookie 文件 中 ,例如 信用 卡号 。 测 试 
的 方法 可 以 手工 地 打开 所 有 Cookie 文件 来 查看 ,也 可 以 利用 一 些 Cookie 编辑 工具 来 查看 ， 
例如 ,使 用 Cookie Editor 工具 查看 。Cookie Editor 的 使 用 详 见 3. 3. 3 节 的 内 容 。 


5. Cookie 安全 内 容 检查 


Cookie 安全 内 容 检查 包括 前 面 讲 的 存储 内 容 的 检查 ,还 包括 以 下 方面 。 

(1) Cookie 过 期 日 期 设置 的 合理 性 : 检查 是 否 把 Cookie 的 过 期 日 期 设置 得 过 长 。 

(2) HttpOnly 属性 的 设置 : 把 Cookie 的 HttpOnly 属性 设置 为 True 有 助 于 缓解 跨 站 
点 脚本 威胁 ,防止 Cookie 被 窃取 。 

(3) Secure 属性 的 设置 : 把 Cookie 的 Secure 属性 设置 为 True, 在 传输 Cookie 时 使 用 
SSL 连接 ,能 保护 数据 在 传输 过 程 中 不 被 自 改 。 

对 于 这 些 设置 ,可 以 利用 Cookie Editor 来 查看 设置 是 否 正 确 。 


3.3.3 Cookie 管理 工具 
1. Cookie Editor 


下 载 地 址 : http://www. proxoft. com/CookieEditor. asp 
Cookie Editor 是 管理 Cookie 的 工具 . 它 能 识别 并 编辑 IE、Firfox、Netscope Cookie 文 
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件 ,控制 个 人 隐私 信息 。 使 用 Cookie Editor 可 以 编辑 删除 Cookie 信息 ,删除 历史 文件 等 。 
Cookie Editor 可 以 搜索 计算 机 上 所 有 IE 浏览 器 的 Cookie, 并 以 网 格 的 格式 显示 出 来 ,通过 
它 可 以 很 方便 地 检查 任何 Cookie 内 容 或 删除 任何 不 必要 的 Cookie。 

(1) 主 界面 

Cookie Editor 应 用 程序 的 主 窗 口 如 图 3-27 所 示 。 使 用 Cookie Editor 可 以 浏览 任何 可 
用 的 属性 ,并 使 用 排序 过滤、 查找 等 筛选 条 件 。 


Cookie Editor 


/T2003 


.. harmonic 2124/200311: | 
harmonic 2124/200311.5 

- harmonic 2124/2003115 | 
.hamonic I0 wwwborandc.. No 2124/2003115 | 
-GUID %7BA79131.. dotphoto com/ No 3117/2003917 | 
.4443848 -13428.3e77.. servedbyadv ，No 3118/2003135 | 
.20311246 -151fd.3e6c9..servedbyadv No 3/1012003853 | 
.42886988 -151fd,3e707..servedby.adv” No 3113/2003739 | 


.19908119 -16242,3868.. servedby.adv No 
.. 83312053 5 


图 3-27 Cookie Editor 主 窗口 


(2) 查找 功能 

在 主 界面 上 单 击 Search 按钮 ,弹出 查找 对 话 框 ,如 图 3-28 所 示 。 在 Look for 的 输入 框 
中 输入 需要 查找 的 内 容 , 例 如 ID、username、password 等 敏感 信息 的 关键 字 , 单 击 Go 按钮 
进行 查找 。 


- | Gramted Date| -| 
%7BA79131.. dotphotocom No NN 3/117/2003 9.17 弄 
~ HumanClickID -1801974274.. 3/18/2003 12:4 
~ HumanClickD -180197427490-10480096 3/18/2003 12:4 
.LodD 3/20/2003 7:44 
-GUID 1044990343. audit webi 2/11/2003 2:05 
ZEDOIDX 13 zedo.com/ | 


3-28 查找 功能 窗口 
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(3) 编辑 功能 
从 图 3-28 的 列表 视图 中 ,可 以 选择 任何 Cookie, 并 修改 它 的 一 些 属性 。 单 击 任意 一 条 
Cookie, 将 弹出 编辑 对 话 框 ,如 图 3-29 所 示 。 


Edit Cookie geoloc 


图 3-29 ”编辑 功能 窗口 
2. IE Cookies View 


下 载 地 址 ; http://www. nirsoft. net/utils/iecookies. html 

IE Cookies View 可 以 搜寻 并 显示 出 计算 机 中 所 有 的 Cookies 档案 的 数据 ,包括 是 哪 一 
个 网 站 写 入 Cookies 的 ,内容 有 什么 、 写 入 的 时 间 日 期 及 此 Cookies 的 有 效 期 限 等 信息 。 

如 果 怀 疑 一 些 网 站 写 和 人 Cookies 内 容 到 计算 机 中 会 造成 隐私 的 侵犯 ,使 用 此 软件 来 看 
看 这 些 Cookies 的 内 容 。 此 软件 只 对 下 浏览 器 的 Cookies 有 效 。IE Cookies View 主 窗口 
如 图 3-30 所 示 。 


| 约旦 图 X 外 轩 印 订 守 虹 
tit i User Filename Stati ^ 
2015/3/15 22:40:39 lan@pos.baidu[2]bt Activ 
2015/3/25 18:33:21 lan@qq[l].bt Activ 
2015/3/19 19:48:03 lan@soft.china-invs... Activ 
2015/3/25 18:28:43 lan@sogoulllbdt 
2015/3/10 17:40:20 lan@sohu[2]bd 


2015/4/1 18:28:28 
2020/1/2 8:00:00 
2020/1/2 8:00:00 
2025/3/1 21:59:56 
2015/4/1 18:28:28 


图 3-30 IE Cookies View 主 窗口 
3. Cookies Manager 


下 载 地 址 : http://www. softpedia. com/ get/ Internet/ Other-Internet-Related/ Cookies-Manager 
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. shtml 
在 Cookies Manager 中 ,可 以 选择 要 保留 和 删除 的 Cookies。Cookies Manager 主 窗口 ， 
如 图 3-31 所 示 。 


om 
anBwww taobao con/ go/act/sale 


选择 所 有 项 目 选择 所 有 项 目 | 选择 所 有 项 目 
关于 0 | 部 助 00.… Dap pap 取消 


图 3-31 Cookies Manager 主 窗口 


执行 Cookies Manager 之 后 ,就 可 以 见 到 一 个 视窗 被 分 割 成 三 个 部 分 ,中 央 的 部 分 是 最 
近 浏 览 网 页 所 留 下 的 Cookie, 而 左 方 是 要 留存 下 来 的 部 分 , 右 方 是 要 删除 的 部 分 ,而 想 要 保 
留 或 删除 的 Cookie, 都 只 需要 单 选 后 , 按 下 向 左 或 向 右 的 双 箭 头 就 可 以 将 档案 移动 过 去 。 
当 决 定 要 删除 时 ,只 需 先 单 选 要 删除 的 Cookie, 然 后 按 下 视窗 上 面 的 “垃圾 桶 ?图 示 ,就 可 以 
清除 了 。 


@.4 Session 测试 


3.4.1 什么 是 Session 


在 计算 机 专业 术语 中 ,Session 是 指 一 个 终端 用 户 与 交互 系统 进行 通信 的 时 间 间 隔 , 通 
常 指 从 注册 进入 系统 到 注销 退出 系统 之 间 所 经 过 的 时 间 。 在 Web 应 用 中 ,Session 指 的 是 
用 户 在 浏览 某 个 网 站 时 ,从 进入 网 站 到 关闭 这 个 网 站 所 经 过 的 时 间 段 , 即 用 户 浏览 此 网 
站 所 花费 的 时 间 。 因 此 从 上 述 的 定义 中 我 们 可 以 看 到 ,Session 实际 上 是 一 个 特定 的 时 间 

需要 注意 的 是 ,一 个 Session 的 概念 需要 包括 特定 的 客户 端 ,特定 的 服务 器 端 以 及 不 中 
断 的 操作 时 间 。A 用 户 和 C 服务 器 建立 连接 时 所 处 的 Session 同 B 用户 和 C 服务 器 建立 连 
接 时 所 处 的 Session 是 两 个 不 同 的 Session 。 

Session 的 工作 原理 (以 PHP 为 例 ) 如 下 : (1) 当 一 个 Session 第 一 次 被 启用 时 ,一 个 唯 
一 的 标识 被 存储 于 本 地 的 Cookie 中 。(2) 使 用 session_start() 函 数 ,PHP 从 Session 仓库 
中 加 载 已 经 存储 的 Session 变量 。(3) 当 执 行 PHP 脚本 时 ,通过 使 用 session_register() 函 
数 注册 Session 变量 。(4) 当 PHP 脚本 执行 结束 时 ,未 被 销毁 的 Session 变量 会 被 自动 保存 
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在 本 地 一 定 路 径 下 的 Session 库 中 ,此 路 径 可 以 通过 php. ini 文件 中 的 session. save_path 指 
定 , 下 次 浏览 网 页 时 可 以 加 载 使 用 。 


1. ASP 的 Session 对 象 


其 属性 Timeout( 读 / 写 , 整 型 ) 为 这 个 会 话 定义 以 分 钟 为 单位 的 超时 周期 。 如 果 用 户 在 
超时 周期 内 没有 进行 刷新 或 请 求 一 个 网 页 ,该 会 话 结 束 。 在 各 网 页 中 根据 需要 可 以 修改 。 
缺 省 值 是 10min。 在 使 用 率 高 的 站 点 上 该 时 间 应 更 短 。 


2. .NET 的 Session 


每 次 读 取 Session 值 以 前 务必 先 判断 Session 是 否 为 空 ,否则 很 有 可 能 出 现 “ 未 将 对 象 
引用 设置 到 对 象 的 实例 ”的 异常 (出 现 这 种 异常 的 原因 之 一 就 是 Session 超时 )。Session 使 
用 一 种 平滑 超时 的 技术 来 控制 何 时 销毁 Session。 默 认 情 况 下 , Session 的 超时 时 间 
(CTimeout) 是 20 分 钟 ,用 户 保持 连续 20 分 钟 不 访问 网 站 , 则 Session 被 收回 ,如 果 在 这 20 
分 钟 内 用 户 又 访问 了 一 次 页 面 ,那么 20 分 钟 就 重新 计时 了 ,也 就 是 说 ,这 个 超时 是 连续 不 访 
问 的 超时 时 间 , 而 不 是 第 一 次 访问 后 20 分 钟 必 过 时 。 这 个 超时 时 间 同 样 也 可 以 通过 调整 
Web. config 文件 进行 修改 。 在 程序 中 进行 设置 Session. Timeout 一 "30"; 一 旦 Session 超 
时 ,Session 中 的 数据 将 被 回收 ,如 果 再 使 用 Session 系统 ,将 分 配 一 个 新 的 SessionID。 


3. JSP 中 的 Session 


JSP 的 Session 是 使 用 bean 的 一 个 生存 期 限 , 一 般 为 page。Session 的 意思 是 在 这 个 用 
户 没有 离开 网 站 之 前 一 直 有 效 ,如 果 无 法 判断 用 户 何 时 离开 ,一 般 依据 系统 设 定 ,tomcat 中 
设 定 为 30 分 钟 。 


4. PHP 中 的 Session 


在 PHP 开发 中 对 比 起 Cookie,Session 是 存储 在 服务 器 端的 会 话 , 相 对 安全 ,并 且 不 像 
Cookie 那样 有 存储 长 度 限制 。 结 合 Cookie 来 使 用 Session 才 是 最 方便 的 。 如 果 客 户 端 没 
有 禁用 Cookie, 则 Cookie 在 启动 Session 会 话 的 时 候 扮演 的 是 存储 Session ID 和 Session 
生存 期 的 角色 。 


3.4.2 Session 生命 周期 


Session 保存 在 服务 器 端 , 为 了 获得 更 高 的 存 取 速度 ,服务 器 一 般 把 Session 放 在 内 存 
里 。 每 个 用 户 都 会 有 一 个 独立 的 Session。 如 果 Session 内 容 过 于 复杂 , 当 大 量 客户 访问 服 
务 器 时 可 能 会 导致 内 存 溢出 。 因 此 ,Session 里 的 信息 应 该 尽量 精简 。 

Session 在 用 户 第 一 次 访问 服务 器 的 时 候 自 动 创 建 。 需 要 注意 只 有 访问 JSP Servlet 等 
程序 时 才 会 创建 Session, 只 访问 html image 等 静态 资源 并 不 会 创建 Session。 如 果 尚 未 生 
成 Session ,也 可 以 使 用 request. getSession(true) 强 制 生 成 Session 。 

Session 生成 后 ,只 要 用 户 继续 访问 ,服务 器 就 会 更 新 Session 的 最 后 访问 时 间 ,并 维护 
该 Session。 用 户 每 访问 一 次 服务 器 ,无 论 是 否 读 写 Session, 服务 器 都 认为 该 用 户 的 
Session“ 活 跃 (active)” 了 一 次 。 
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由 于 会 有 越 来 越 多 的 用 户 访问 服务 器 ,因此 Session 也 会 越 来 越 多 。 为 防止 内 存 溢 出 ， 
服务 器 会 把 长 时 间 内 没有 活跃 的 Session 从 内 存 删 除 。 这 个 时 间 就 是 Session 的 超时 时 间 。 
如 果 超 过 了 超时 时 间 没 访问 过 服务 器 ,Session 就 自动 失效 了 。 

Session 的 超时 时 间 为 maxInactiveInterval 属性 ,可 以 通过 对 应 的 getMaxInactiveInterval() 
获取 ,通过 setMaxJInactiveInterval(long interval) 修改 。Session 的 超时 时 间 也 可 以 在 web. xml 
中 修改 。 另 外 ,通过 调用 Session 的 invalidate() 方 法 可 以 使 Session 失效 。 

Session 被 销毁 只 有 两 种 情况 : 第 一 种 情况 ,服务 器 会 把 长 时 间 没 有 活动 的 Session 从 
服务 器 内 存 中 清除 ,此 时 Session 便 失效 。Tomcat 中 Session 的 默认 失效 时 间 为 20 分 钟 。 
第 二 种 情况 ,调用 了 Session 的 session. invalidate 方法 。 


3.4.3 Session 测试 


Session 是 客户 端 与 服务 器 端 建立 的 会 话 , 总 是 放 在 服务 器 上 ,服务 器 会 为 每 次 会 话 建 
立 一 个 SessionID ,每 个 客户 会 跟 一 个 SessionID 对 应 。Session 测试 主要 关注 下 列 内 容 。 


1. Session 互 帘 


Session 互 窜 即 是 用 户 A 的 操作 被 用 户 B 执行 了 。 

验证 Session 互 窗 , 其 原理 是 基于 权限 控制 ,如 某 笔 订单 只 能 是 A 进行 操作 ,或 者 只 能 
是 A 才能 看 到 的 页 面 ,但 是 B 的 Session 帘 进 来 却 能 够 获得 A 的 订单 详情 等 。 

测试 Session 互 帘 的 方法 如 下 : 对 于 多 TAB 浏览 器 ,在 两 个 TAB 页 中 都 保留 的 是 用 户 
A 的 Session 记录 ,然后 在 其 中 一 个 TAB 页 执行 退出 操作 。 接 下 来 登录 用 户 B, 此 时 两 个 
TAB 页 都 是 B 的 Session, 然 后 在 另 一 个 A 的 页 面 执行 操作 ,查看 是 否 能 成 功 。 预 期 结果 : 
有 权限 控制 的 操作 ,B 不 能 执行 A 页 面 的 操作 ,应 该 报错 ; 没有 权限 控制 的 操作 ,B 执行 了 
A 页 面 的 操作 后 ,数据 记录 是 B 的 而 不 是 A 的 。 


2. Session 超时 


基于 Session 原理 ,需要 验证 系统 Session 是 否 有 超时 机 制 ,还 需要 验证 Session 超时 后 
功能 是 否 还 能 继续 走 下 去 。Session 超时 的 测试 方法 如 下 。 

(1) 打开 一 个 页 面 ,等 20 分 钟 或 更 长 时 间 , 等 到 Session 超时 时 间 到 之 后 ,然后 对 页 面 
进行 操作 ,查看 效果 。 

(2) 多 TAB 浏览 器 ,在 两 个 TAB 页 中 都 保留 的 是 用 户 A 的 Session 记录 ,然后 在 其 中 
一 个 TAB 页 执行 退出 操作 ,马上 在 男 一 个 页 面 进行 要 验证 的 操作 ,查看 是 能 继续 到 下 一 步 
还 是 到 登录 页 面 。 


@.5 业务 功能 测试 


进行 网 站 业务 功能 测试 时 ,要求 测试 人 员 对 应 用 程序 特定 的 功能 需求 进行 验证 。 测 试 
者 需要 尝试 用 户 可 能 进行 的 所 有 操作 ,例如 购物 网 站 中 的 下 订单 ,更改 订单 .取消 订单 、 核 对 
订单 状态 \ 在 货物 发 送 之 前 更 改 送 货 信息 ,在 线 支付 等 操作 。 进 行业 务 功能 测试 必须 深刻 理 
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解 需求 说 明文 档 ,熟悉 网 站 的 所 有 功能 和 操作 流程 。 


3.5.1 功能 项 测试 


功能 项 测试 主要 检查 页 面 上 某 项 功能 是 否 实现 。 例 如 测试 注册 页 面 中 的 注册 功能 是 否 
正确 实现 。 进 行业 务 功能 测试 时 ,需要 严格 按照 需求 规格 说 明 书 的 要 求 , 设 计 测 试用 例 , 逐 
项 检查 各 功能 点 是 否 正确 实现 。 

下 面 以 网 页 中 的 搜索 功能 和 分 页 ( 翻 页 ) 功 能 为 例 ,对 其 进行 功能 测试 。 


1. 搜索 测试 


搜索 测试 可 以 从 基本 功能 ,界面 .安全 等 几 个 方面 进行 考虑 ,如 表 3-7 所 示 。 
表 3-7 搜索 功能 测试 内 容 


测试 分 类 检查 内 容 
搜索 按钮 功能 是 否 实现 , 即 输入 搜索 内 容 , 单 击 【搜索 按钮 能 和 否 执行 搜索 操作 
输入 条 件 为 网 站 中 可 查 到 结果 的 关键 字 、 词 .语句 等 ,能 否 正确 搜索 出 结果 
输入 条 件 为 网 站 中 不 可 查 到 结果 的 关键 字 、 词 ,语句 等 ,能 否 给 出 正确 的 提示 
输入 一 些 特殊 的 内 容 , 如 特殊 符 、 标 点 符 、 极 限 值 等 ,是 否 报错 
输入 空格 , 单 击 【 搜 索 ] 按 钮 ,系统 是 否 会 报错 
输入 超 长 字符 (如 将 一 篇 文章 拷贝 到 搜索 输入 框 中 ) 进 行 搜索 ,系统 能 否 正确 处 理 
不 输入 任何 内 容 ,是 否 搜索 出 全 部 信息 或 者 给 予 提示 
如 果 支 持 模糊 查询 ,搜索 名 称 中 任意 一 个 字符 是 否 能 搜索 到 
例如 模糊 查询 时 输入 “中 % 国 ”, 查 询 信息 是 不 是 包含 中 国 两 个 字 的 信息 
搜索 的 关键 字 前 、 后 ,中间 有 空格 ,显示 搜索 结果 是 否 一 臻 
输入 不 符合 要 求 的 数据 是 否 有 提示 ,如 无 效 的 日 期 
输入 敏感 信息 进行 查询 ,是 否 给 出 提示 
检查 页 面 数 据 和 数据 库 数 据 的 一 致 性 
核实 查询 结果 是 否 为 符合 条 件 的 所 有 数据 ,是 否 有 遗漏 或 多 余数 据 
系统 是 否 支持 Tab 键 
搜索 输入 域 是 否 实现 回 车 监听 事件 
搜索 出 的 结果 页 面 是 否 与 其 他 页 面 风格 一 致 
焦点 放置 在 搜索 框 中 ,搜索 框 内 容 是 否 被 清空 
搜索 结果 罗列 有 序 , 如 按 点 击 率 或 其 他 排序 规则 ,确保 每 次 查询 出 的 结果 位 置 按 规则 列 
示 方 便 定位 ,显示 字体 、 字 号 、 色 彩 便于 识别 等 
搜索 结束 时 ,是 否 告知 搜索 结果 的 数量 
搜索 结果 较 多 时 ,是 否 分 页 显示 
被 删除 加密、 授权 的 数据 ,是 不 允许 被 查 出 来 的 ,对 此 是 否 有 安全 控制 设计 
安全 测试 ”| 是 否 能 防范 SQL 注入 攻击 ,如 在 搜索 框 中 输入 or 1 一 1 是 否 会 出 错 
是 否 能 防范 XSS 攻击 ,如 在 搜索 框 输入 二 script>alert("Test XSS")</script> 


功能 测试 


界面 测试 


2. 分 页 测试 


“前 页 ee ee 居 页 ”ww 这 些 在 Web 中 随处 可 见 ,分 页 的 应 用 也 是 
Web 基础 功能 之 一 ,确保 这 一 基础 功能 的 可 行 是 十 分 有 必要 的 。 分 页 测试 可 以 参考 表 3-8。 
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表 3-8 分 页 测试 内 容 


测试 分 类 检查 内 容 

没有 数据 时 “首页 "“ 上 一 页 "“ 下 一 页 ”"“ 尾 页 ”标签 全 部 为 灰色 

存在 数据 时 ,“ 首 页 ”"“ 上 一 页 ”“ 下 一 页 ”"“ 尾 页 ”标签 显示 正确 

在 首页 时 ,“ 首 页 ”“ 上 一 页 ”标签 为 灰 

在 尾 页 时 ,“ 下 一 页 ”"“ 尾 页 ”标签 置 灰 

在 非 首页 和 非 尾 页 时 ,“ 上 一 页 ”“ 下 一 页 ”标签 显示 正常 , 且 能 正常 操作 
各 个 分 页 标签 应 该 在 同一 水 平 线 上 

各 个 页 面 的 分 页 标签 样式 应 该 一 致 

功能 测试 ”| 总 页 数 等 于 总 的 记录 数 /指定 每 页 显示 的 条 数 

总 页 数 和 当前 页 显示 正确 ,并 且 可 以 根据 数据 的 记录 数 实时 显示 

翻 页 后 ,列表 中 的 数据 应 该 仍然 按照 指定 的 顺序 进行 排序 

逐一 执行 翻 页 控件 中 的 每 个 按钮 , 均 能 够 正常 操作 

如 果 可 以 自己 输入 页 数 , 应 该 能 正确 跳 转 到 指定 的 页 数 

如 果 输 入 非法 页 数 (输入 0 或 超出 总 页 数 的 数字 ,或 者 输入 非 数字 的 字符 ) ,应 该 有 友好 
提示 信息 ,而 不 会 出 现 页 面 显 示 错 误 或 系统 崩溃 

是 否 允许 用 户 自 定义 显示 条 数 ,如 果 能 配置 , 则 配置 与 实际 显示 应 该 符合 


3.5.2 业务 流 测试 


业务 流程 一 般 会 涉及 多 个 模块 的 数据 ,所 以 在 对 业务 流程 测试 时 ,首先 要 保证 单个 模块 
功能 的 正确 性 ,其 次 就 要 对 各 个 模块 间 传递 的 数据 进行 测试 ,测试 时 一 定 要 设计 不 同 的 数据 
进行 测试 。 业 务 流程 要 注意 数据 的 走向 及 正确 性 、 关 联 性 。 进 行业 务 流 测 试 时 ,可 参照 下 列 
步骤 进行 。 

1. 业务 流程 分 析 


(1) 掌握 业务 知识 .业务 流程 以 及 业务 的 数据 流向 。 站 在 用 户 的 角度 思考 ,而 不 仅仅 考 
虑 在 系统 中 如 何 操作 业务 流程 ; 弄 清楚 每 一 项 业务 中 的 详细 流程 和 各 个 环节 涉及 的 角色 ， 
一 项 比较 复杂 的 业务 的 详细 流程 往往 比较 多 ,只 有 彻底 掌握 了 这 项 业务 ,才能 对 当前 业务 环 
节 进 行 全 方位 的 测试 。 

(2) 从 需求 人 员 或 者 客户 那里 了 解 各 业务 流程 的 重要 程度 和 使 用 频率 。 对 于 重要 的 和 
用 户 使 用 频率 高 的 业务 必须 进行 深入 细致 的 测试 ,而 对 于 用 户 使 用 频率 很 低 的 业务 ,可 以 少 
投入 时 间 和 精力 。 

(3) 了 解 业务 流程 在 系统 中 对 应 的 功能 。 建 立业 务 与 系统 的 映射 ,为 编写 测试 用 例 做 
好 准备 。 


2. 编写 测试 用 例 


(1) 绘制 业务 流程 图 。 流 程 图 比较 直观 ,也 便于 进行 路 径 的 分 析 。 对 于 较 简 单 的 流程 ， 
也 可 以 用 文字 描述 的 形式 。 

(2) 根据 业务 流程 的 重要 程度 ,使 用 频率 为 各 流程 设置 好 优先 级 。 

(3) 采用 场景 法 、 路 径 法 或 其 他 方法 梳理 出 每 个 业务 流程 在 系统 中 对 应 的 操作 步骤 , 形 
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成 业务 流程 的 测试 用 例 。 

注意 : 

(1) 这 里 的 操作 步骤 没有 必要 像 功 能 点 测试 用 例 的 步骤 那么 详细 ,这 些 操作 步骤 可 能 
是 一 个 业务 操作 集 , 可 以 分 解 成 多 个 步骤 。 这 些 业务 操作 集 , 可 以 对 应 具体 的 功能 点 测试 用 
例 , 从 而 做 到 测试 用 例 的 复 用 。 因 此 ,可 以 说 这 里 的 业务 流程 测试 就 像 是 将 多 个 功能 点 的 测 
试 组 合成 一 个 集合 ,形成 一 个 业务 流 。 

(2) 在 每 个 步骤 中 需要 标识 出 执行 该 操作 的 用 户 角 色 。 因 为 在 一 个 业务 流程 中 ,很 可 
能 涉及 不 同 的 角色 。 

(3) 测试 时 ,需要 平衡 项 目的 进度 和 成 本 ,因此 不 一 定 要 履 盖 所 有 的 场景 和 路 径 。 


3. 测试 数据 设计 


(1) 输入 数据 

测试 业务 流程 与 功能 点 测试 的 重点 不 一 样 ,因此 设计 测试 数据 的 时 候 更 多 需要 考虑 下 
面 的 因素 ( 按 重 要 到 次 要 排列 ) : 

O@ 关键 的 判断 条 件 ; 

@ 符合 业务 意义 的 数据 ; 

@ 边界 数据 ; 

@ 异常 数据 。 

对 流程 无 任何 影响 的 数据 在 此 可 以 不 考虑 , 放 到 功能 点 测试 中 更 加 合适 ,这 样 可 以 减少 
不 必要 的 干扰 。 有 些 功 能 点 对 流程 的 依赖 很 强 , 或 者 业务 流程 非常 简单 ,也 可 以 将 业务 流程 
测试 与 功能 点 测试 结合 。 

(2) 输出 数据 

系统 中 得 到 的 结果 数据 以 及 报表 中 的 数据 ,都 需要 体现 出 来 ,必要 的 时 候 还 需要 根据 报 
表 的 格式 提供 输出 数据 ,以 便 在 测试 时 进行 核对 。 

注意 : 需要 平衡 项 目的 进度 和 成 本 , 尽 可 能 用 少量 的 测试 数据 发 现 更 多 的 问题 。 


4. 测试 执行 
有 了 具体 的 步骤 以 及 测试 数据 ,除了 使 用 手工 测试 以 外 ,还 可 结合 自动 化 测试 工具 进行 
业务 流程 测试 。 


例 : 网 站 购物 测试 用 例 设 计 

某 购物 网 站 订购 一 般 过 程 为 : 进入 购物 网 站 浏览 商品 , 当 看 中 心仪 的 商品 后 , 单 击 【 立 
即 购 买 】, 这 时 网 站 弹出 登录 界面 ,用 户 登 录 自 己 已 注册 好 的 账户 ,确认 收 货 地 址 和 订单 信 
息 ,然后 通过 网 上 银行 支付 货款 ,生成 订单 。 

(1) 业务 流 分 析 

基本 流 : 浏览 商品 .立即 购买 .登录 账户 、 确 认 收 货 地 址 、 确 认 订单 信息 .支付 货 款 、. 生 成 
订单 。 

备 选 流 1: 密码 错误 ; 

备 选 流 2: 注册 账户 ; 

备 选 流 3: 新 增 或 修改 收 货 地 址 ， 
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备 选 流 4: 修改 订单 信息 ; 
备 选 流 5: 网 银 密 码 错误 ; 
备 选 流 6: 网 银 余额 不 足 ; 
备 选 流 7: 退出 系统 。 
以 上 只 列 出 了 最 常见 的 备 选 流 ,在 用 户 购物 过 程 中 ,还 会 有 很 多 特殊 的 情况 ,在 此 未 完 


全 列 出 。 
(2) 场景 设计 
根据 上 面 列 出 的 基本 流 和 备 选 流 ,可 以 构建 出 无 数 的 用 户 场景 。 下 面 列 出 部 分 典型 的 
场景 , 见 表 3-9。 
表 3-9 网 站 购物 场景 
场 景 业 务 流 
场景 1: 成 功 购物 基本 流 
场景 2: 用 户 密码 错误 基本 流 十 备 选 流 1 
场景 3: 注册 新 用 户 基本 流 十 备 选 流 2 
场景 4: 新 增收 货 地 址 基本 流 十 备 选 流 3 
场景 5: 修改 订单 基本 流 十 备 选 流 4 
场景 6: 网 银 密码 错误 基本 流 十 备 选 流 5 
场景 7: 网 银 余额 不 足 基本 流 十 备 选 流 6 
场景 8: 选择 商品 后 退出 系统 基本 流 十 备 选 流 7 
场景 9; 成 功 购物 基本 流 十 备 选 流 3 十 备 选 流 4 
(3) 测试 用 例 设 计 


对 于 每 一 个 场景 ,需要 设计 测试 数据 ,使 系统 按 场 景 中 的 流程 执行 。 针 对 表 3-9 中 设计 
的 场景 ,进行 测试 用 例 设计 ,如 表 3-10 所 示 。 


表 3-10 网 站 购物 测试 用 例 


项 目 名 称 网 站 购物 测试 项 目 编号 Shoping_Test 
模块 名 称 网 站 购物 开发 人 员 xx 
测试 类 型 功能 测试 参考 信息 需求 规格 说 明 书 ,设计 说 明 书 
优先 级 高 用 例 作 者 xx 设计 日 期 减 奖 
测试 方法 黑 盒 测试 (手工 测试 测试 人 员 xx 测试 日 期 xx 
测试 对 象 网 站 购物 业务 功能 的 测试 
用 户 账户 : lanjingying, 密 码 : 126543lan, 网 银 账号 : 622848 xxxxxxxxxxxxxx ,密码 : 

前 时 条 件 123456 ,账户 余额 : 300 元 

用 例 编号 场景 操作 描述 输入 数据 期 望 结果 


(了 D 浏 览 商品 并 确定 要 购 用 户 账户 : lanjingying 
买 密码 : 126543lan 
买 的 商品 (2) 单 击 【 立 即 

丈 网 银 账 号 : 622848 xxxxx 
Shoping_Test_1 | 场景 1 人 村 全 人 攻关 关 兴 关 闪光 关 购物 成 功 
” td 密码 : 123456 
(5) 确 认 订 单 信息 (6) 支 商品 失格 0 

pp 2 

3 yl 
付 货款 (7) 生成 订单 ge 
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用 例 编号 


场景 


操作 描述 


输入 数据 


结果 


Shoping_Test_2 


场景 2 


(1) 浏 览 商 品 并 确定 要 购 
买 的 商品 (2) 单 击 【 立 即 
购买 3 按钮 (3) 输 入 账户 
和 密码 


用 户 账户 : lanjingying 
密码 : 126543 


Shoping_Test_3 


场景 3 


(D) 浏 览 商品 并 确定 要 购买 
的 商品 (2) 单 击 【 立 即 购 
买 按 钮 (3) 注 册 新 用 户 


用 户 账户 : wangyu 
密码 : yul123456 


用 户 注 册 


Shoping_Test 4 


场景 4 


(1) 浏 览 商品 并 确定 要 购 
买 的 商品 (2) 单 击 【 立 即 
购买 3 按钮 (3) 输 入 账户 
和 密码 (4) 新 增收 货 地 
址 ,输入 新 的 地 址 (5) 确 
认 收 货 地 址 (6) 确 认 订单 
信息 (7) 支付 货款 (8) 生 
成 订单 


用 户 账户 : lanjingying 
密码 : 126543lan 

新 地 址 : 四 川 省 绵阳 市 西 
科大 

网 银 账号 ; 622848 xx#x# 
密码 : 123456 

商品 价格 : 60 元 

商品 数量 : 1 


购物 成 功 


Shoping_Test_5 


场景 5 


51) 浏览 商品 并 确定 要 购 
买 的 商品 (2) 单 击 【 立 即 
购买 3 按钮 (3) 输 入 账户 
和 密码 (4) 确 认 收 货 地 址 
(5) 修改 订单 信息 (修改 
购买 商品 的 数量 ), 然 后 
确认 订单 信息 (6) 支 付 货 
款 (7) 生 成 订单 


用 户 账 户 : lanjingying 
密码 : 126543lan 

网 银 账 号 : 622848 xxxx# 
关 关 关 关 关 关 关 关 关 

密码 : 123456 

商品 价格 : 60 元 

商品 数量 : 4 


购物 成 功 


Shoping_Test_6 


场景 6 


(1) 浏 览 商品 并 确定 要 购 
买 的 商品 (2) 单 击 【 立 即 
购买 3 按钮 (3) 输 入 账户 
和 密码 (4) 确认 收 货 地 址 
(5) 确 认 订 单 信息 (6) 支 
付 货款 ,但 密码 错误 


用 户 账户 : lanjingying 
密码 : 126543lan 

网 银 账 号 : 622848 xxxx# 
关 关 关 关 关 关 关 关 关 

密码 : 111111 

商品 价格 : 60 元 

商品 数量 : 1 


提示 密码 
错误 


Shoping_Test_7 


场景 7 


(1) 浏 览 商 品 并 确定 要 购 
买 的 商品 (2) 单 击 【 立 即 
购买 3 按钮 (3) 输 入 账户 
和 密码 (4) 确认 收 货 地 址 
(5) 确 认 订 单 信息 (6) 支 
付 货款 


用 户 账户 : lanjingying 
密码 : 126543lan 

网 银 账号 : 622848 xxxxx 
关 关 关 关 关 关 闫 关 关 

密码 : 123456 

商品 价格 : 360 元 

商品 数量 : 1 


提示 余额 
不 足 


Shoping_Test_ 8 


场景 8 


(1) 浏 览 商品 并 确定 要 购 
买 的 商品 (2) 单 击 【 加 入 
购物 车 〗(3) 退 出 本 网 站 


商品 加 入 
购物 车 
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续 表 


用 例 编号 


场景 


操作 描述 


输入 数据 


期 望 结果 


实 


结 


际 
果 


Shoping_Test 9 


场景 9 


(1) 浏 览 商品 并 确定 要 购 
买 的 商品 (2) 单 击 【 立 即 
购买 3 按钮 (3) 输 入 账户 
和 密码 (4) 新 增收 货 地 
址 ,然后 确认 收 货 地 址 
(5) 修 改 订单 信息 (修改 
购买 商品 的 数量 ), 然 后 
确认 订单 信息 (6) 支 付 货 
款 (7) 生 成 订单 。 


用 户 账户 : lanjingying 
密码 : 126543lan 

新 地 址 : 四 川 省 绵阳 市 西 
科大 

网 银 账号 : 622848 xxxxx 
关 关 关 关 关 尖 关 关 关 

密码 : 123456 

商品 价格 : 40 元 

商品 数量 : 6 


购物 成 功 


@.6 数据 库 功 能 测试 


在 Web 应 用 技术 中 ,数据 库 对 Web 应 用 系统 的 管理 .运行 ,以 及 实现 用 户 对 数据 存储 
的 请 求 等 起 着 重要 作用 ,数据 库 测 试 是 Web 系统 测试 的 重要 内 容 。 

数据 库 功 能 测试 的 目的 是 验证 数据 库 功 能 正确 和 无 遗漏 。 数 据 库 功 能 测试 的 内 容 包括 
数据 定义 数据 操纵 ,并 发 处 理 , 以 及 数据 库 安 全 性 等 。 


1. 数据 定义 功能 测试 


数据 定义 功能 测试 的 主要 任务 是 测试 数据 库 动态 创建 .修改 和 删除 基本 表 、 视 图 .索引 、 
角色 等 是 否 符合 用 户 需求 。 数 据 定义 功能 的 测试 输出 结果 一 般 通过 专门 的 数据 库 访问 工具 
查看 ,当然 也 可 以 通过 在 数据 库 系统 中 设置 基本 表 、 视 图 .索引 、 角 色 等 对 象 查询 模块 来 确定 
它们 的 存在 性 及 属性 。 另 外 ,还 要 测试 数据 库 系 统 是 否 错误 地 重复 定义 数据 。 


2. 数据 操纵 功能 测试 


数据 库 的 数据 操纵 功能 测试 是 指 检查 对 数据 库 的 数据 进行 插入 修改、 删除 查询 ,统计 
和 排序 等 操作 时 的 功能 是 否 正确 。 

(1) 数据 更 新 功能 测试 

为 了 保证 数据 更 新 功能 的 正确 执行 ,必须 设计 测试 用 例 进行 测试 。 数 据 更 新 功能 的 测 
试 输出 结果 一 般 可 以 用 数据 库 系 统 有 关 模 块 查 看 ,也 可 以 通过 专门 的 数据 库 访问 工具 查看 。 

在 测试 时 务必 注意 ,一 个 数据 更 新 操作 可 能 引发 一 系列 的 数据 更 新 操作 。 例 如 , 某 些 数 
据 库 系统 要 求 插入 数据 时 ,同时 要 执行 修改 与 删除 数据 的 操作 。 因 此 测试 输出 结果 可 能 涉 
及 多 个 基本 表 或 视图 ,测试 人 员 需 要 到 多 处 查看 测试 输出 结果 。 例 如 ,销售 管理 系统 每 销售 
一 件 商品 ,需要 插入 销售 记录 ,修改 库存 量 , 当 该 商品 无 库存 并 不 再 进货 时 还 要 删除 该 商品 
目录 。 此 时 ,测试 人 员 需 要 在 销售 记录 表 、 库 存 表 、 商 品目 录 表 等 处 查看 测试 输出 结果 。 

(2) 数据 查询 功能 测试 

数据 查询 是 对 数据 库 中 的 数据 进行 检索 ,筛选 出 满足 特定 条 件 的 数据 。 数 据 查 询 功 能 
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测试 就 是 测试 数据 库 的 查询 功能 得 到 的 数据 是 否 符合 预定 要 求 。 可 以 用 专门 的 数据 库 访 问 
工具 获取 满足 相同 条 件 的 数据 ,通过 比较 来 判断 数据 库 系统 处 理 是 否 正 确 。 

(3) 数据 统计 和 排序 功能 测试 

数据 查询 时 往往 伴随 着 数据 的 统计 和 排序 。 因 此 ,数据 统计 和 排序 功能 测试 一 般 和 数 
据 查 询 功能 测试 一 同 进行 。 例 如 ,图 书 管理 系统 有 基本 表 : 图 书 (书号 , 书 名 ,作者 ,出 版 社 ， 
出 版 日 期 ,定价 )。 在 此 基本 表 上 按 出 版 社 统计 图 书 种 数 ,然后 按 出 版 社 增 序 排序 输出 统计 
结果 ,这 就 需要 对 数据 查询 ,统计 和 排序 功能 同时 测试 。 


3. 并 发 处 理 测 试 


很 多 数据 库 系 统 需 要 满足 并 发 性 操作 。 例 如 一 个 航空 订 票 系统 ,很 多 的 旅客 可 能 在 同 
一 个 时 间 购 买 机 票 ,为 了 避免 在 同一 时 间 更 新 同一 个 数据 段 ,数据 库 应 用 程序 采用 事务 处 理 
的 方法 ,将 一 组 数据 库 的 操作 绑 定 ,作为 一 个 单元 进行 处 理 。 数 据 库 管理 系统 则 在 确保 数据 
完整 性 的 前 提 下 , 尽 可 能 地 提高 数据 库 的 访问 效率 。 

并 发 性 一 直 是 软件 开发 中 一 个 重要 的 问题 。 事 务 是 并 发 控制 的 基本 单位 ,保证 事务 的 
ACID( 原 子 性 : Atomicity ,一 致 性 : Consistency, 隔 离 性 : Isolation ,持久 性 : Durability) 特 
性 是 事务 处 理 的 重要 任务 ,而 事务 ACID 特性 可 能 遭 到 破坏 的 原因 之 一 是 多 个 事务 对 数据 
库 的 并 发 操作 造成 的 。 为 了 保证 事务 的 隔离 性 ,并 保证 数据 库 的 一 致 性 ,数据 库 管 理 系统 需 
要 对 并 发 操作 进行 正确 的 调度 。 

并 发 操作 带 来 的 数据 不 一 致 性 有 三 类 : 丢失 修改 \ 不 可 重复 读 和 读 “ 脏 ”数据 。 

(1) 丢失 修改 (Lost Update) 

两 个 事务 读 和 同一 数据 并 修改 ,事务 2 提交 的 结果 破坏 了 事务 1 提交 的 结果 ,导致 事务 
1 的 修改 被 丢失 。 

(2) 不 可 重复 读 (Non-Repeatable Read) 

不 可 重复 读 是 指 事务 1 读 取 数据 后 ,事务 2 执行 更 新 操作 (修改 .删除 .增加 ) ,使 事务 1 
无 法 再 现 前 一 次 的 读 取 结果 。 

(3) 读 * 脏 "数据 (Dirty Read) 

读 * 脏 ?数据 是 指 事务 1 修改 某 一 数据 ,并 将 其 写 回 磁盘 ,事务 2 读 取 同 一 数据 后 ,事务 
1 由 于 某 种 原因 被 撤销 ,这 时 事务 1 已 经 修改 过 的 数据 恢复 原 值 ,事务 2 读 到 的 数据 就 与 数 
据 库 中 的 数据 不 一 致 了 , 则 事务 2 读 到 的 数据 就 为 * 脏 ”数据 , 即 不 正确 数据 。 

为 了 找 出 数据 库 系统 并 发 处 理 机 制 的 可 能 缺陷 ,就 必须 进行 并 发 处 理 测试 。 数 据 库 系 
统 并 发 处 理 机 制 的 可 能 缺陷 包括 如 下 几 种 。 

(1) 一 个 用 户 的 不 同 模块 同时 更 新 同一 数据 。 

(2) 多 个 用 户 同时 更 新 同一 数据 。 

(3) 一 个 用 户 的 一 个 模块 更 新 数据 ,而 另 一 个 模块 同时 读 取 数 据 。 

(4) 一 个 用 户 更 新 数据 ,而 另 一 个 用 户 同 时 读 取 数 据 。 

(5) 一 个 用 户 的 一 个 模块 更 新 基本 表 、 视 图 .索引 、 角 色 等 对 象 ,而 另 一 个 模块 正在 使 用 

(6) 一 个 用 户 更 新 基本 表 、 视 图 .索引 、 角 色 等 对 象 ,而 另 一 个 用 户 正 在 使 用 这 些 对 象 。 

(7) 两 个 基本 表 互 为 被 参照 表 。 


111 


SG 


112。 ”Web 应 用 程序 测试 
NA 
(8) 一 个 用 户 的 多 个 模块 对 数据 库 操作 时 形成 死 锁 。 
(9) 多 个 用 户 的 事务 形成 死 锁 。 


4. 数据 库 系统 一 致 性 和 完整 性 测试 


数据 一 致 性 的 意外 破坏 可 能 由 以 下 原因 造成 。 

(1) 在 事务 处 理 过程 中 发 生 崩 溃 。 

(2) 对 数据 库 的 并 发 访问 所 导致 的 异常 。 

(3) 在 几 个 计算 机 上 分 布 数据 所 导致 的 异常 。 

(4) 违反 事务 保证 数据 一 致 性 这 一 假设 的 逻辑 错误 。 

针对 以 上 可 能 产生 的 情况 ,可 以 采用 如 下 测试 策略 。 

(1) 数据 处 理 过 程 中 ,人 为 中 止 程序 ,查看 数据 一 致 性 是 否 遭 到 破坏 。 

(2) 模拟 多 用 户 同 时 访问 数据 库 系统 ,查看 数据 一 致 性 是 否 遭 到 破坏 。 

(3) 人 为 制造 故障 ,系统 正常 运行 后 ,查看 不 同 数据 库 之 间 的 一 致 性 。 

(4) 频繁 添加 或 删除 数据 ,包括 正常 数据 和 不 合理 数据 ,查看 数据 的 一 致 性 和 完整 性 。 


6.7 接口 测试 


1. 接口 测试 


接口 测试 (Interface Testing) 是 测试 系统 组 件 间 接口 的 一 种 测试 。 接 口 测试 主要 用 于 
检测 外 部 系统 与 系统 之 间 以 及 内 部 各 个 子 系统 之 间 的 交互 点 。 测 试 的 重点 是 要 检查 数据 的 
交互 ,传递 和 控制 管理 过 程 ,以 及 系统 间 的 相互 逻辑 依赖 关系 等 。 

接口 可 以 分 为 以 下 几 种 。 

(1) 系统 与 系统 之 间 的 调用 ,例如 银行 会 提供 接口 供电 子 商 务 网 站 调用 ,或 者 说 ,支付 
宝 会 提供 接口 给 淘宝 调用 。 

(2) 上 层 服 务 对 下 层 服务 的 调用 ,例如 service 层 会 调用 数据 访问 接口 ,而 应 用 层 又 会 
服务 层 提供 的 接口 。 

(3) 服务 之 间 的 调用 ,例如 注册 用 户 时 ,会 先 调用 用 户 查 询 的 服务 ,查看 该 用 户 是 否 已 
经 注册 。 


调 


2. Web 接口 测试 


在 很 多 情况 下 ,Web 网 站 不 是 孤立 的 ,例如 需要 与 外 部 服务 器 通信 ,请 求 数据 、 验 证 信 
息 或 提交 订单 等 。 进 行 Web 接口 测试 时 ,重点 关注 下 列 几 个 方面 。 

(1) 服务 器 接口 测试 

服务 器 接口 测试 是 测试 浏览 器 与 服务 器 之 间 的 接口 。 测 试 人 员 提交 事务 后 ,查看 服务 
器 的 记录 ,并 验证 在 浏览 器 上 看 到 的 正好 是 服务 器 上 发 生 的 。 测 试 人 员 还 可 以 查询 数据 库 ， 
确认 事务 数据 已 正确 保存 。 这 种 测试 可 以 归 到 功能 测试 中 的 表单 测试 和 数据 校 验 测试 中 。 

(2) 外 部 接口 测试 

有 些 Web 系统 有 外 部 接口 .测试 时 要 使 用 Web 接口 发 送 一 些 事务 数据 。 例 如 网 上 商 
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店 需要 对 有 效 信用 卡 、 无 效 信 用 卡 和 被 盗 信 用 卡 进行 验证 。 通 常 ,测试 人 员 需 要 确认 软件 能 
够 处 理 外 部 服务 器 返回 的 所 有 可 能 的 消息 。 

(3) 接口 错误 处 理 测试 

最 容易 被 测试 人 员 忽略 的 地 方 是 接口 错误 处 理 。 通 常 测试 人 员 试 图 确认 系统 能 够 处 理 
所 有 错误 ,但 却 无 法 预期 系统 所 有 可 能 的 错误 。 例 如 购物 时 尝试 在 处 理 过 程 中 中 断 事务 ,看 
看 订单 是 否 完成 ; 尝试 中 断 用 户 到 服务 器 的 网 络 连接 ,或 者 尝试 中 断 Web 服务 器 到 信用 卡 
验证 服务 器 的 连接 。 因 此 需要 测试 系统 能 否 正 确 处 理 这 些 错 误 。 这 种 测试 也 可 以 归 到 功能 
测试 中 的 异常 处 理 测试 ,或 者 健壮 性 测试 中 。 


@.8 功能 测试 工具 


1. Rational Robot 


IBM Rational Robot 是 业界 最 顶尖 的 功能 测试 工具 , 它 甚 至 可 以 在 测试 人 员 学 习 高 级 
脚本 技术 之 前 帮助 其 进行 成 功 的 测试 。 它 集成 在 测试 人 员 的 桌面 IBM Rational 
TestManager 上 ,在 这 里 测试 人 员 可 以 计划 组织 .执行 .管理 和 报告 所 有 测试 活动 ,包括 手 
动 测试 报告 。 这 种 测试 和 管理 的 双重 功能 是 自动 化 测试 的 理想 开始 。 

Rational Robot 是 一 种 可 扩展 ,灵活 的 功能 测试 工具 , 它 是 Rational Suites 下 的 一 个 组 
件 , 对 于 比较 熟悉 它 的 测试 人 员 可 以 修改 测试 脚本 ,改进 测试 的 深度 。Rational Robot 为 菜 
单列 表 、 字 母 数字 字符 及 位 图 等 对 象 提 供 了 测试 用 例 。 

Rational Robot 可 开发 三 种 测试 脚本 : 用 于 功能 测试 的 GUI 脚本 .用 于 性 能 测试 的 
VU 以 及 VB 脚本 。 

Rational Robot 的 功能 如 下 。 

(1) 执行 完整 的 功能 测试 。 记 录 和 回放 遍历 应 用 程序 的 脚本 ,以 及 测试 在 查证 点 
(Verification Points) 处 的 对 象 状态 。 

(2) 执行 完整 的 性 能 测试 。Robot 和 Test Manager 协作 可 以 记录 和 回放 脚本 .这些 脚 
本 有 助 于 断定 多 客户 系统 在 不 同 负载 情况 下 是 否 能 够 按照 用 户 定义 标准 运行 。 

(3) 在 SQA Basic.VB、VU 环境 下 创建 并 编辑 脚本 。Robot 编辑 器 提供 有 色 代 码 命 
令 , 并 且 在 强大 的 集成 脚本 开发 阶段 提供 键盘 帮助 。 

(4) 测试 IDE 下 Visual Basic、Oracle Forms、Power Builder.HTML、Java 开发 的 应 用 
程序 ,甚至 可 测试 用 户 界面 上 不 可 见 对 象 。 

(5) 脚本 回放 阶段 收集 应 用 程序 诊断 信息 , Robot 同 Rational Purify、 Quantify、 Pure 
Coverage 集成 ,可 以 通过 诊断 工具 回放 脚本 ,在 日 志 中 查看 结果 。 

Robot 使 用 面向 对 象 记录 技术 : 记录 对 象 内 部 名 称 ,而 非 屏幕 坐标 。 若 对 象 改 变 位 置 
或 者 窗口 文本 发 生变 化 ,Robot 仍然 可 以 找到 对 象 并 回放 。 

网 站 地 址 : http://www-01. ibm. com/software/cn/rational/ 


2. QuickTest Professional 


QuickTest Professional 是 一 个 功能 测试 自动 化 工具 ,主要 应 用 在 回归 测试 中 。QuickTest 
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针对 的 是 GUI 应 用 程序 ,包括 传统 的 Windows 应 用 程序 ,以 及 现在 越 来 越 流 行 的 Web 应 
用 。 它 可 以 覆盖 绝 大 多 数 的 软件 开发 技术 ,简单 高 效 , 并 具备 测试 用 例 可 重用 的 特点 。 其 中 
包括 创建 测试 .插入 检查 点 、 检 验 数据 .增强 测试 .运行 测试 .分 析 结果 和 维护 测试 等 方面 。 
QuickTest 的 使 用 将 在 后 面 的 项 目 训练 中 详细 讲解 。 

QTP11.5 发布 ,改名 为 UFT(Unified Functional Testing) ,支持 多 脚本 编辑 调试 .PDF 
检查 点 .持续 集成 系统 .手机 测试 等 。 

网 站 地 址 : http://www. hp. com 


3. SilkTest 


SilkTest 是 Borland 公司 所 提出 软件 质量 管理 解决 方案 的 套件 之 一 。SilkTest 是 业界 
领先 的 、 用 于 对 企业 级 应 用 进行 功能 测试 的 产品 ,可 用 于 测试 Web Java 或 是 传统 的 C/S 结 
构 。SilkTest 提供 了 许多 功能 ,使 用 户 能 够 高 效率 地 进行 软件 自动 化 测试 ,这 些 功 能 包括 测 
试 的 计划 和 管理 ,直接 的 数据 库 访问 及 校 验 ,灵活 、 强 大 的 4Test 脚本 语言 ,内 置 的 恢复 系统 
(Recovery System) ,以 及 具有 使 用 同一 套 脚 本 进行 跨 平台 、 跨 浏览 器 和 技术 进行 测试 的 
能 力 。 

网 站 地 址 ; http://www. segue. com 


4. OARun 


QARun 的 测试 实现 方式 是 通过 鼠标 移动 . 单 击 操作 ,得 到 相应 的 测试 脚本 ,对 该 脚本 
可 以 进行 编辑 和 调试 。 在 记录 的 过 程 中 可 针对 被 测 应 用 中 所 包含 的 功能 点 进行 基线 值 的 建 
立 , 换 句 话说 就 是 在 插入 检查 点 的 同时 建立 期 望 值 。 在 这 里 检查 点 是 目标 系统 的 一 个 特殊 
方面 在 一 特定 点 的 期 望 状态 。 通 常 ,检查 点 在 QA Run 提示 目标 系统 执行 一 系列 事件 之 后 
被 执行 。 检 查 点 用 于 确定 实际 结果 与 期 望 结 果 是 否 相同 。 

网 站 地 址 : http://www. compuware. com 


5. QTester 


QTester 简称 QT, 是 一 种 自动 化 测试 工具 ,主要 针对 网 络 应 用 程序 进行 自动 化 测试 。 
它 可 以 模拟 出 几乎 所 有 的 针对 浏览 器 的 动作 , 旨 在 用 机 器 来 代替 人 工 重复 性 的 输入 和 操作 ， 
从 而 达到 测试 的 目的 。QTester 功能 全 面 ,可 支持 测试 场景 录制 .自动 生成 脚本 ,也 支持 测 
试 人 员 手 写 的 更 为 复杂 的 脚本 、 运 行 脚本 并 对 程序 进行 调试 和 结果 分 析 。 这 是 一 款 简 洁 实 
用 的 自动 化 测试 软件 ,测试 者 可 轻松 上 手 。QTester 支持 Iframe ,支持 Ajax, 支持 二 次 开 

(1) 高 效 实用 : 对 人 工 测试 来 说 .QTester 测试 要 快 得 多 .并 且 精 准 可 靠 , 可 重复 ; 相对 
于 昂贵 的 大 型 测试 软件 来 说 ,QTester 更 简洁 、 实 用 ,易于 上 手 。 

(2) 可 编程 : QTester 支持 各 种 脚本 语言 (Javascript, PHP,ruby,asp 等 ), 测 试 者 可 自 
己 手 动 编写 脚本 。 通 过 复杂 的 脚本 ,往往 能 找到 隐藏 在 程序 深 处 的 Bug。 脚 本 支持 断 点 、 单 
步 执行 等 常用 调试 方式 。 

(3) 可 积累 : 每 个 软件 由 于 各 自 独特 的 应 用 场景 需要 自己 开发 测试 用 例 。 通 过 脚本 的 
积累 ,可 以 形成 针对 某 类 应 用 程序 的 测试 脚本 用 例 库 ,从 而 在 长 期 使 用 QTester 软件 的 过 
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程 中 形成 自己 的 知识 库 , 进 一 步 节约 时 间 , 提 高 效率 ,并 且 使 操作 规范 化 ,利于 公司 的 知识 
管理 。 

(4) 强大 的 支持 : QTester 内 部 集成 了 大 量 方 法 用 以 模拟 鼠标 、 键 盘 对 浏览 器 的 操作 。 
这 些 支 持 使 得 使 用 QTester 进行 自动 化 操作 和 手动 测试 并 没有 差别 。 

(5) 丰富 的 资料 和 实例 : QTester 在 研发 和 使 用 的 过 程 中 ,积累 了 大 量 的 相关 资料 和 使 
用 实例 。 这 些 实例 一 方面 让 用 户 更 容易 上 手 ; 另 一 方面 从 中 也 可 学 习 到 不 少 测试 的 经 验 。 
所 有 的 这 些 资料 和 实例 都 可 以 在 QTester 软件 官方 网 站 上 免费 获得 。 

网 站 地 址 : http://www. qtester. net/Default. html 


6E3 功能 测试 缺陷 案例 


下 面 的 缺陷 是 从 言 车 金 叶 软件 研究 中 心 2013 年 和 2014 年 全 国 大 学 生 寻 找 产品 缺陷 
(Find Bug) 技 能 大 赛 的 稿件 中 精心 选取 的 。 


3.9.1 403 错误 


缺陷 标题 : 城市 空间 主页 一 都 市 论坛 : 网 页 出 现 403 Forbidden 提示 信息 。 

测试 平台 与 浏览 器 : Windows 8 十 Chrome 34 十 IE 10。 

测试 步 又: 

(1) 用 Chrome/IE 打开 城市 空间 主页 http://www. oricity. com。 

(2) 单 击 “ 都 市 论坛 "链接 http://www. oricity. com/index. php。 

(3) 单 击 * 帮 助 ” 链 接 : http://www. oricity. com/faq. php。 

期 望 结 果 : 页 面 显示 正确 。 

实际 结果 : 页 面 出 现 403 Forbidden。IE 浏览 器 下 网 页 出 现 403 Forbidden, 如 图 3-32 
所 示 。 


病害 起 二 本 6 经 powered byphpwindnet | | 
xX 今天 一 


整 天 部 时 用 心 响 > > 您 尚未 登录 注册 | 帮助 | 首页 | 天 图 版 


伪 城市 空间 论坛 -> 论坛 帮助 | 


注册 与 会 员 录 | 会 员 控 制 面板 | 论坛 吉 综 相关 | 。 WAP 说 明 。| PHPWing 版 权 | 互动 联盟 推荐 | wind Code 


403 Forbidden 


nginx/1.0.5 ~ 


人 @ Internet | 保护 模式 : 启用 广 7” 由 100% ~ 


3-32 ”网 页 出 现 403 Forbidden 
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3.9.2 404 错误 


缺陷 标题 : 诺 质 软件 测试 团队 网 站 出 现 404 错误 。 

测试 平台 与 浏览 器 : Windows 8 十 Chrome 34 十 IE 10。 

测试 步骤 

(1) 用 Chrome/IE 打开 诺 顾 软件 测试 团队 主页 http://qa. roqisoft. com 。 

(2) 单 击 “ 高 校 合作 成 功 范例 ”链接 http://qa. roqisoft com/index. php/ the-joomla-project。 

期 望 结果 : 页 面 正常 显示 。 

实际 结果 : 出 现 404 错误 ,所 请 求 的 页 面 无 法 找到 。 在 Chrome 浏览 器 下 链接 错误 ,如 
图 3-33 所 示 。 


* 言 若 金 叶 软件 研究 中 
心 分 支 机 构 - 庶 顾 软 有 错误 发 生 
件 测 放 轩 队 所 请 求 的 页 面 无 法 找到 。 


你 可 能 想 搜索 网 站 或 访问 主页 。 
搜索 
首页 
如 果 仍 然 有 困难 ， 请 联系 网 站 管理 者 
#404 找 不 到 文章 
人 @ Internet | 保护 模式 : 启用 


图 3-33 Chrome 浏览 器 下 链接 错误 


3.9.3 ”E-mail 问题 


缺陷 标题 : 城市 空间 登录 后 邀请 好 友 ,接收 者 不 合法 的 E-mail 邀请 信 发 送 成 功 。 
测试 平台 与 浏览 器 : Windows XP 十 Firefox 32.0 或 Chrome 32。 

测试 步骤 : 

(1) 打开 城市 空间 主页 http://www. oricity. com/。 

(2) 登录 , 单 击 【X XX 的 城市 空间 】。 

(3) 展开 [我 的 朋友 】. 单 击 【邀请 好 友 】。 

(4) 在 接收 者 邮箱 输入 "dd@?”, 单 击 【 发 送 邀 请 按钮 ,查看 发 送 邀 请 结果 。 
期 望 结 果 : 提示 邮箱 不 合法 发送 邀请 不 成 功 。 

实际 结果 : 不 合法 的 邮箱 ,但 E-mail 邀请 却 发 送 成 功 ,如 图 3-34 所 示 。 
缺陷 标题 : 发 送 邮 件 失败 ,无 法 完成 “ 找 回 密码 ”功能 。 
测试 平台 与 浏览 器 : Windows XP 十 Firefox 浏览 器 。 
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外 我 89 朋友 -- 道 请 好 友 - Windows Intemet Explorer DD ey 
GO- 全 Https//wemioriciny.com/user/invitefiriend phpzoc=1 B -|49|x 有 lp ano 万- 


| 况 | 大 我 的 二 友 - 道 请 李 友 
邀请 好 友 加 入 城市 空间 3 


您 好 ! 我 是 城市 空间 的 用 户 ， 认 为 这 个 网 站 很 有 价值 ， 特 推荐 给 您 ， 
您 能 喜欢 。 


图 3-34 未 验证 邮箱 有 效 性 


测试 步 又: 

(1) 打开 城市 中 心 论坛 网 站 http://www. oricity. com。 
(2) 单 击 登 录 页 面 , 单 击 【 找 回 密码 】。 

(3) 输入 用 户 名 、 邮 箱 信息 , 单 击 【 发 送 】。 

期 望 结果 : 能 正常 发 出 邮件 ,并 成 功 更 改 密码 。 

实际 结果 : 不 能 发 出 邮件 ,如 图 3-35 所 示 。 


有 3 轨迹 1 活动 去 布 | 都 市 日 历 1 “ 


发 送 兴 败 请 不 要 在 60 秒 内 连续 性 的 使 用 此 功能 . 


[| 


http://www.oricity.com/aboutus.pt 全 Intemet | 保护 模式 启用 入 忆 100% ~ 


图 3-35 邮件 发 送 失 败 
3.9.4 用户 名 验证 问题 


缺陷 标题 : 诺 顾 软件 测试 团队 网 站 不 合约 束 规 则 的 用 户 名 注册 成 功 。 
测试 平台 与 浏览 器 : Windows XP 十 Firefox。 

测试 步骤 : 

(1) 进入 诺 顾 软件 测试 团队 网 站 http://qa. roqisoft. com。 

(2) 单 击 登录 页 面 , 单 击 注册 用 户 。 

(3) 输入 非法 用 户 名 ,如 “9”, 其 他 域 填写 有 效 信息 , 单 击 【 注 册 】 按 钮 。 
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期 望 结果 : 注册 失败 。 


实际 结果 : 注册 成 功 ,如 图 3-36 和 图 3-37 所 示 。 


电子 闻 件 信箱 * 


确认 电子 邮件 信箱 ，“ 


714622475@qq com 


14622475@qq co 


注册 | 或 也 汉 


图 3-36 ”在 用 户 名 框 内 输入 “9” 显 示 合法 用 户 名 约束 


eV GOLDEN LEAF SO 
RA 


你 目前 位 置 : Home * 登录 显示 账号 已 成 功 创建 


WD 


关于 诺 顾 软 件 测 
试 团队 全 象 的 账号 已 创建 ， 且 含有 启用 链接 的 电子 邮件 已 经 发 送 
至 您 输入 的 电子 邮件 信箱 。 请 注意 ， 在 您 登录 网 站 前 您 
。 肾 集 言 若 金 叶 必须 先 点 选 “启用 链接 "启动 账号 。 


图 3-37 显示 账号 成 功 创建 


3.9.5 表单 域 验证 问题 


缺陷 标题 : zero. webappsecurity. com 网 站 下 部 分 表单 可 提交 空白 表单 。 

测试 平台 与 浏览 器 : Windows 7 十 IE 8。 

测试 步骤 : 

(1) 打开 国外 网 站 http://zero. webappsecurity. com。 

(2) 单 击 导 航 条 上 的 Feedback 链接 。 

(3) 在 Feedback 页 面 ,直接 单 击 Send Message 按钮 ,提交 表单 ,如 图 3-38 所 示 。 
期 望 结果 : 提交 失败 。 

实际 结果 : 提交 成 功 , 如 图 3-39 所 示 。 


3.9.6 搜索 功能 错误 


缺陷 标题 : 诺 顾 软件 论坛 网 站 的 高 级 搜索 结果 不 准确 。 
测试 平台 与 浏览 器 : Windows XP 十 Firefox。 

测试 步骤 : 

(1) 打开 城市 中 心 论坛 网 站 http://www. leaf520. com/bbs。 
(2) 单 击 “高 级 搜索 ”链接 。 
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€ > @ http://zero.webappsecurity.com/feedback html 


Feedback 


Our Frequently Asked Questions area will help you with many of your inquiries. 
If you can't find your question, retum to this page and use the e-mail form below- 
IMPORTANT! This feedback facility is not secure. Please do not send any 
account information in a message sent from here 


高 | YourName 


回 Your email address 


bw Subject 


Type your questions here 


3-38 提交 空 表单 


Feedback 


ank you for your comments, . They will be reviewed by our Customer Service staff and given the 
ll attention that they deserve- 


图 3-39 ”提交 空 表 单 成 功 


(3) 在 按 关 键 词 搜索 输入 框 内 输入 “十 重庆 十 大 学 ”。 
期 望 结果 : 只 有 同时 出 现 “ 重 庆 ” 和 “大 学 ”的 页 面 链 接 才 会 在 搜索 结果 中 。 
实际 结果 : 搜索 结果 中 有 一 些 链接 的 页 面 中 没有 “重庆 ”, 而 且 显 示 “ 重 ”“ 大 ”“ 学 ”等 


120 


SA 


Web 应 用 程序 测试 


关键 字 被 忽略 ,如 图 3-40 所 示 。 


[Q+ 至 庆 + 大 学 有 3 沉 | 


入 级 搜索 


他 论坛 首页 ~ 
@FAQ 妖 注 册 登录 

搜索 得 到 116 个 符合 结果 : + 重 庆 + 大 学 

忽略 :大 学 重 

4 返回 高 级 搜索 

搜索 这 些 结果 : 盾 索 站。 搜索 得 到 116 个 符合 结果 。 分 页 ，2/ 12。 同 四 回国 回 … 到 


Re: be phe te : 2014 免 费 赠 书 300 册 至 由 


admin 
2014-11-24 22:19 
人 余 佳 丹 ---- 完 成 配送 已 经 确认 收 到 ) 版 面 。 和 中 必 @ 放 


件 
《软件 测试 工程 师 成 长 之 踏 -- 掌 担 软 件 测试 九 二 技术 主题 》 主题 : 计 作 着 金 叶 软 件 研究 中 心 


图 3-40 ”搜索 结果 多 处 出 错 ,违反 常理 

缺陷 标题 : 在 言 若 金 叶 软件 研究 中 心 网 站 使 用 小 于 搜索 关键 字 长 度 要 求 的 关键 字 能 够 
查看 搜索 结果 。 

测试 平台 与 浏览 器 : Windows 7 十 IE 10 或 Chrome。 

测试 步 又: 

(1) 打开 言 车 金 叶 软件 研究 中 心 官网 http://www. leaf520. com。 

(2) 在 网 站 搜索 框 内 输入 数字 "0”。 

期 望 结 果 : 提示 ”搜索 字 串 必须 多 于 3 个 字符 且 少 于 20 个 字符 ”。 

实际 结果 : 总 共 搜索 到 51 条 记录 ,如 图 3-41 所 示 。 


用 志 所 有 关键 词 日 包含 任意 一 个 关键 词 均 可 @ 精确 搜索 


排序 : | 新 内 容 排列 在 前 国 


仅 搜索 : 上 文章 下 友情 链接 目 联系 我 们 四 分 类 目 单元 四 新 闻 联播 


搜索 字 捉 0 


总 共 搜索 到 51 条 记录 


3-41 输入 数字 “0” 后 的 搜索 结果 
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3.9.7 ”数据库 错误 


缺陷 标题 : 城市 空间 网 站 出 现 MySQL Server Error。 
测试 平台 与 浏览 器 : Windows 7 十 Firefox 24.0 IE 9 或 Chrome 32.0。 
测试 步 又: 

(1) 打开 城市 空间 网 页 http://www. oricity. com 。 

(2) 登录 , 单 击 【X XxX 的 城市 空间 】 ,然后 单 击 【注销 】, 处 于 未 登录 状态 。 
(3) 单 击 [ 我 的 踪迹 3 或 【手机 和 信 设 置 】。 

(4) 查看 响应 的 页 面 。 

期 望 结 果 : 提示 “您 没有 登录 或 者 您 没有 权限 访问 此 页 面 ”。 

实际 结果 : 出 现 MySQL Server Error 错误 提示 ,如 图 3-42 所 示 。 


人 斌 | 乱 城 H 空 冯 6 坛 加 | 

Query Error: select * from oc_event where eventid= 
The URL Is: 

http://www.oricty.com/rec/meinine.php? 


MySQL Server Error: 
You have an error n your SQL syntax; check the manual that corresponds to your MySQL 
server version for the right syntax to use near " at ine 1 ( 1064 ) 


You Can Get Help In: 
http:/ /www.phpwind.net 


人 @ Internet | 保护 模式 .启用 给 7 习 75% ~ 


图 3-42 数据 库 服务 器 错误 
3.9.8 SQL 错误 


缺陷 标题 : 在 城市 空间 用 户 已 注销 过 后 的 页 面 中 操作 ,出 现 数 据 库 搜索 错误 和 数据 库 
服务 器 错误 。 

测试 平台 与 浏览 器 : Windows 7(64bit) 十 IE 9 或 Firefox 24.0。 

测试 步骤 : 

(1) 打开 城市 空间 Oricity 官网 http://www. oricity. com。 

(2) 单 击 【登录 按钮。 

(3) 输入 有 效用 户 名 ` 有 效 密码 ,其 他 选项 默认 , 单 击 【提交 了 按钮 。 

(4) 进入 用 户 个 人 的 城市 空间 。 

(5) 单 击 【注销 3 按钮 。 

(6) 单 击 左边 目录 的 【手机 和 信 设 置 】。 

期 望 结果 : 提示 没有 权限 访问 等 相关 信息 。 

实际 结果 : 页 面 出 现 SQL 搜索 错误 .如 图 3-43 所 示 。 


The URL Is: 
http://www.oricity.com/user/mobile.php?action=show 


MySQL server Error 


nd check the manual that corresponds to your MYSQL server version for the right syntax to use near " at 
ine 1 ( 1064 


You Can Get Help In: 
http://www.| Ee net 


图 3-43 ”页面 中 出 现 MySQL Server Error 


@.10 本 章 小 结 
wl 

功能 测试 就 是 对 系统 的 各 功能 进行 验证 ,根据 功能 测试 用 例 , 逐 项 测试 ,检查 系统 是 否 
达到 用 户 要 求 的 功能 。 本 章 重点 介绍 了 Web 系统 的 功能 测试 的 方法 和 策略 。 链 接 测试 主 
要 检查 各 链接 是 否 正确 和 有 效 , 一 般 采 用 链接 测试 工具 。 表 单 是 用 户 与 服务 器 交互 的 重要 
方式 之 一 ,进行 表单 测试 时 需要 验证 表单 中 的 各 项 功能 是 否 正确 实现 ,表单 数据 是 否 能 成 功 
提交 。Cookie 是 网 站 为 了 辨别 用 户 身份 、 进 行 Session 跟踪 而 存储 在 用 户 本 地 终端 上 的 数 
据 , 用 于 记录 用 户 的 用 户 ID 密码、 浏览 过 的 网 页 .停留 的 时 间 等 信息 。 测试 时 必须 检查 
Cookie 是 否 能 正常 工作 ,Cookie 是 否 安全 。 对 Web 系统 进行 业务 功能 测试 时 ,本 
Web 应 用 程序 的 特定 功能 是 否 正确 、 有 效 ,并 满足 用 户 的 需求 。 数 据 库 是 Web 系统 重要 的 
组 成 部 分 ,对 数据 库 的 测试 包括 数据 定义 、 数 据 操纵 、 并 发 处 理 ,以 及 数据 库 安全 性 等 。 
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@.1 用 户 界面 


UI(User Interface) 是 用 户 界面 的 简称 。GUI(Graphical User Interface, 图 形 用 户 界 
面 ) 是 计算 机 软件 与 用 户 进行 交互 的 主要 方式 。UE(User Experience, 用 户 体验 ) 是 指 用 户 
访问 网 站 或 者 使 用 软件 产品 时 的 全 部 体验 。 

用 户 界面 设计 是 指 对 软件 的 人 机 交互 .操作 逻辑 .界面 美观 的 整体 设计 。 用 户 界 面 设 计 
在 很 大 程度 上 就 是 在 探讨 如 何 让 产品 的 界面 更 加 具有 可 用 性 `. 如 何 让 用 户 有 更 良好 的 体验 、 
如 何 让 用 户 能 更 方便 地 完成 任务 、 如 何 让 用 户 获 得 良好 的 感觉 。 可 以 说 ,UI 设计 的 所 有 基 
本 原则 ,都 建立 在 “ 易 用 性 ”的 基础 上 。 界 面 设计 主要 是 为 了 达到 以 下 目的 。 

(1) 以 用 户 为 中 心 。 设 计 由 用 户 控 制 的 界面 ,而 不 是 界面 控制 用 户 。 

(2) 清楚 一 致 的 设计 。 所 有 界面 的 风格 保持 一 致 ,所 有 具有 相同 含义 的 术语 保持 一 致 ， 
且 易 于 理解 和 使 用 。 

(3) 拥有 良好 的 直觉 特征 。 以 用 户 所 熟悉 的 现实 世界 事务 的 抽象 来 给 用 户 暗示 和 隐 
喻 ,来 帮助 用 户 迅速 学 会 软件 的 使 用 。 

(4) 较 快 的 响应 速度 。 

(5) 简洁 ,美观 。 


.2 界面 设计 原则 
A 


4.2.1 界面 设计 的 行业 标准 


界面 是 软件 与 用 户 交互 的 最 直接 的 层 , 界 面 的 好 坏 决 定 用 户 对 软件 的 第 一 印象 。 设 计 
良好 的 界面 能 够 引导 用 户 完成 相应 的 操作 ,起 到 向 导 的 作用 。 同 时 界面 如 同人 的 面孔 ,具有 
吸引 用 户 的 直接 优势 。 设 计 合理 的 界面 能 给 用 户 带 来 轻松 愉悦 的 感受 和 成 功 的 感觉 ,不 合 
理 的 界面 设计 则 让 用 户 产 生 厌 恶 感 和 挫败 感 。 

图 形 用 户 界面 的 整体 标准 包括 4 个 方面 : 规范 性 、 合 理性 ,一 致 性 和 界面 定制 性 。 


1. 设计 规范 
确立 标准 并 遵循 是 软件 界面 设计 中 必 不 可 少 的 环节 。 确 立 界面 标准 的 好 处 如 下 。 
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(1) 便于 用 户 操作 。 用 户 使 用 起 来 能 够 建立 起 精确 的 心理 模型 ,使 用 熟练 了 一 个 界面 
后 ,切换 到 另外 一 个 界面 能 够 很 轻松 地 推测 出 各 种 功能 。 

(2) 使 用 户 感觉 到 统一 、 规 范 。 在 使 用 软件 的 过 程 中 愉快 轻松 地 完成 操作 ,提高 对 软件 
的 认 知 。 

(3) 降低 培训 和 支持 成 本 ,不 必 花 费 较 多 的 人 力 对 客户 进行 逐个 指导 。 


2. 布局 合理 


界面 的 合理 性 是 指 界面 是 否 与 软件 功能 相 融 洽 ,界面 的 颜色 和 布局 是 否 协调 等 。 

(1) 界面 布局 

O 〇 屏幕 不 能 拥挤 

Mayhew 在 1992 年 的 试验 结果 表明 屏幕 总 体 覆 盖 度 不 应 该 超过 40%% ,而 分 组 覆盖 度 
不 应 该 超过 62%。 整 个 项 目 采用 统一 的 控件 间距 ,通过 调整 窗 体 大 小 达到 一 致 ,即使 在 窗 
体 大 小 不 变 的 情况 下 ,宁可 留 空 部 分 区 域 ,也 不 要 破坏 控件 间 的 行 间距 。 

@ 控件 按 区 域 排列 

一 行 控 件 纵向 中 对 齐 ,控件 间距 基本 保持 一 致 , 行 与 行 之 间 间 距 相同 , 靠 窗 体 的 控件 距 
窗 体 边缘 的 距离 应 大 于 行 间 距 。 当 屏幕 有 多 个 编辑 区 域 时 ,要 以 视觉 效果 和 效率 来 组 织 这 
些 区 域 。 

@ 有 效 组 合 

逻辑 上 相关 联 的 控件 应 当 加 以 组 合 以 表示 其 关联 性 ,反之 ,任何 不 相关 的 项 目 应 当 分 隔 
开 。 在 项 目 集合 间 用 间隔 对 其 进行 分 组 ,或 者 使 用 方 框 划分 各 自 区 域 。 

@ 窗口 缩放 时 控件 的 位 置 和 布局 

(a) 固定 大 小 的 窗口 : 不 允许 改变 尺寸 ; 

(b) 可 改变 尺寸 的 窗口 : 在 窗口 尺寸 发 生变 化 时 控件 的 位 置 、 大 小 做 出 相应 的 改变 ; 

(c) 可 改变 尺寸 的 窗口 : 在 窗口 改变 尺寸 时 增加 相应 的 纵向 、 横 向 滚动 条 ,以 方便 用 户 
使 用 窗 体 上 的 控件 。 

(2) 界面 颜色 搭配 

使 用 恰当 的 颜色 ,可 以 使 软件 的 界面 看 起 来 更 加 规范 。 

Q@ 统一 色调 

针对 软件 类 型 以 及 用 户 工作 环境 选择 恰当 色调 ,例如 安全 软件 ,根据 工业 标准 ,可 以 选 
取 黄 色 ; 绿色 体现 环保 ; 蓝 色 表现 时 尚 清新 ; 紫色 表现 浪漫 等 。 淡 色 可 以 使 人 舒适 ,暗色 做 
背景 使 人 不 觉得 累 。 

@ 与 操作 系统 统一 , 读 取 系统 标准 色 表 。 

@ 遵循 对 比 原则 

在 浅 色 背景 上 使 用 深 色 文 字 , 深 色 背 景 上 使 用 浅 色 文字 ,如 蓝 色 文字 以 白色 背景 容易 识 
别 , 而 在 红色 背景 则 不 易 分 辨 除非 特殊 场合 ,村 绝 使 用 对 比 强烈 让 人 产生 民 恶 感 的 颜色 。 

@ 整个 界面 色彩 尽量 少 地 使 用 类 别 不 同 的 颜色 。 

@ 颜色 方案 也 许 会 因为 显示 器 、 显 卡 、 操 作 系统 等 原因 显示 出 不 同 的 色彩 。 

针对 色盲 .色弱 用 户 , 可 以 使 用 特殊 指示 符 。 
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3. 风格 一 致 


界面 的 一 致 性 既 包 括 使 用 标准 的 控件 ,也 指 相同 的 信息 表现 方法 ,如 在 字体 ,标签 风格 、 
颜色 、 术 语 、 显 示 错 误 信息 等 方面 确保 一 致 。 

(1) 在 不 同 分 辩 率 下 的 美观 程度 

软件 界面 要 有 一 个 默认 的 分 辨 率 ,而 在 其 他 分 辨 率 下 也 可 以 运行 ,分 别 测试 在 800X 600、 
1024X768、1280X768、1280X1024、1200X1600 分 辨 率 下 的 大 字体 、 小 字体 下 的 界面 表现 。 

(2) 界面 布局 一 致 

例如 所 有 窗口 按钮 的 位 置 和 对 齐 方式 要 保持 一 致 

(3) 界面 外 观 一 致 

例如 控件 的 大 小 ,颜色 .背景 和 显示 信息 等 属性 要 一 致 ,一 些 需要 特殊 处 理 或 有 特殊 要 
求 的 地 方 除外 。 

(4) 界面 颜色 一 致 

颜色 的 前 后 一 致 会 使 整个 应 用 软件 有 同样 的 观感 ,反之 会 让 用 户 觉 得 所 操作 的 软件 杂 
乱 无 章 ,没有 规则 可 言 。 

(5) 操作 方法 一 致 

例如 双击 其 中 的 项 ,触发 某 事 件 ,那么 双击 任何 其 他 列表 框 中 的 项 ,都 应 该 有 同样 的 事 
件 发 生 。 

(6) 控件 功能 专 一 

O@ 正确 使 用 控件 ; 

@ 一 个 控件 只 做 单一 功能 ,不 复 用 。 

(7) 标签 和 信息 的 措 词 一 臻 

例如 在 提示 、 菜 单 和 帮助 中 产生 相同 的 术语 。 

(8) 标签 中 文字 对 齐 方式 一 致 

例如 某 类 描述 信息 的 标题 行 定 为 居中 ,那么 其 他 类 似 的 功能 也 应 该 与 此 一 致 。 

(9) 快捷 键 在 各 配置 项 上 语义 保持 一 致 

例如 Tab 键 的 习惯 用 法 是 阅读 顺序 从 左 到 右 、 从 上 到 下 ,在 定义 软件 快捷 键 时 也 可 以 
将 现 有 一 些 快捷 键 的 属性 作为 参考 。 


4. 界面 可 定制 


界面 的 可 定制 性 大 致 可 分 为 以 下 几 个 特性 。 
(1) 界面 元 素 可 定制 
允许 用 户 定义 工具 栏 状态 栏 是 否 显 示 , 人 允许 用 户 定 义工 具 栏 显示 在 界面 上 的 位 置 , 允 
户 定义 菜单 的 位 置 等 。 
(2) 工具 栏 可 定制 
不 同 用 户 对 常用 工具 的 使 用 是 不 同 的 ,因此 允许 用 户 建立 新 的 工具 栏 ,选择 要 显示 的 工 
具 栏 ,定制 工具 栏 上 的 按钮 等 。 
(3) 统计 检索 可 定制 
对 于 某 些 特殊 行业 的 软件 可 以 提供 统计 检索 的 可 定制 性 ,在 充分 了 解 用 户 需 求 的 基础 
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上 制定 大 量 的 选项 供用 户 选 择 。 
4.2.2 界面 设计 原则 


界面 设计 应 该 符合 易 用 性 ,规范 性 、 合 理性 、 美 观 与 协调 性 等 原则 。 
1. 易 用 性 


易 用 性 是 交互 的 适应 性 、 功 能 性 和 有 效 性 的 集中 体现 。 在 软件 中 , 易 用 性 是 指 在 指定 条 
件 下 使 用 时 ,软件 产品 被 理解 ,学习 、 使 用 和 吸引 用 户 的 能 力 。 在 软件 界面 设计 中 , 易 用 性 体 
现在 下 列 方面 。 

(1) 用 户 界面 应 该 简洁 直观 。 用 户 所 需 功 能 或 者 期 待 的 响应 应 该 明显 ,并 在 预期 出 现 
的 地 方 。 

(2) 用 户 界面 组 织 和 布局 合理 。 用 户 能 轻松 地 从 一 个 功能 转 到 另 一 个 功能 。 用 户 任何 
时 刻 都 可 以 决定 放弃 或 者 退回 或 退出 。 正 确 的 输入 应 该 得 到 承认 ,而 错误 的 输入 应 该 给 出 
准确 和 友善 的 提示 。 

(3) 完成 相近 功能 或 操作 的 所 有 功能 按钮 ,要 集中 放 在 一 起 ,以 减少 鼠标 移动 的 距离 。 
常用 功能 按钮 要 支持 快捷 键 。 

(4) 界面 中 存在 多 种 功能 时 ,应 该 按 功能 将 界面 划分 为 局 域 块 ,用 Frame 框 组 合 起 来 ， 
并 要 有 功能 说 明 或 标题 。 

(5) 界面 空间 足够 ,并 且 选 项 数 不 多 的 情况 下 ,尽量 使 用 选项 框 ,而 不 是 使 用 下 拉 列 表 
框 。 界 面 空间 较 小 的 情况 下 ,尽量 使 用 下 拉 框 而 不 用 选项 框 。 

(6) 根据 复 选 框 和 单 选 框 使 用 几率 的 高 低 进行 排序 ,并 且 支 持 Tab 跳 转 和 按 空格 键 选 
中 的 功能 。 

(7) 页 面 输入 控件 的 选择 要 合理 ,同一 界面 复 选 框 不 能 出 现 太 多 ,下 拉 列 表 选 项 也 不 宜 
大 多 。 

(8) 界面 要 支持 全 键盘 操作 , 即 可 以 使 用 Tab 键 顺 序 跳 转 焦点 。 焦 点 跳 转 顺序 应 该 遵 
循 从 左 到 右 、 从 上 到 下 的 原则 。 

(9) 常用 菜单 功能 需 提 供 操 作 快捷 键 ,快捷 键 的 定义 应 符合 大 众 操 作 习 惯 。 

(10) 复 选 框 和 选项 框 要 有 默认 选项 ,并 支持 Tab 选择 。 

(11) 默认 按钮 要 支持 Enter 键 的 操作 , 即 按 Enter 键 后 自动 执行 默认 按钮 对 应 操作 。 

(12) 当 可 编辑 控件 检测 到 非法 输入 内 容 后 ,应 该 给 出 说 明 提示 信息 ,并 能 正确 将 焦点 
定位 到 出 错 的 控件 上 ,并 将 控件 的 内 容 置 为 全 部 选中 的 状态 。 

(13) 在 用 户 执行 严重 错误 的 操作 之 前 提出 警告 ,并 允许 用 户 恢 复 由 于 错误 操作 导致 丢 
失 的 数据 。 

(14) 如 果 由 于 用 户 不 了 解 系统 而 操作 失败 ,应 在 页 面 中 给 予 帮助 ,而 且 帮 助 信息 应 该 
简洁 和 准确 。 

(15) 一 些 重要 的 操作 中 ,要 让 用 户 有 时 间 看 清 程序 在 做 什么 ,并 有 时 间 决 定 下 一 步 操 
作 , 不 要 让 用 户 产生 紧张 和 压力 感 。 

(16) 对 用 户 操作 需要 反馈 足够 的 信息 ,例如 提示 、 警 告 或 错误 ,信息 表达 应 该 清楚 、 明 
了 恰当 、 准 确 。 
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(17) 对 于 需要 等 待 的 操作 ,如 果 时 间 稍 长 就 应 该 提供 进度 条 显示 。 
(18) 专业 性 强 的 软件 要 使 用 相关 的 专业 术语 ,通用 性 界面 则 提倡 使 用 通用 性 词语 。 


2. 规范 性 


通常 界面 设计 都 按 Windows 界面 的 规范 来 设计 , 即 包含 菜单 条 .工具 栏 . 工 具 箱 、 状 态 
栏 .滚动 条 右键 快捷 菜单 的 标准 格式 ,可 以 说 界面 遵循 规范 化 的 程度 越 高 , 则 易 用 性 就 
越 好 。 

(1) 常用 菜单 要 有 命令 快捷 方式 。 

(2) 不 同 界面 中 功能 相同 的 按钮 ,使 用 的 快捷 键 必须 相同 。 

(3) 按钮 /菜单 使 用 的 图 标 要 能 直观 地 代表 要 完成 的 操作 。 

(4) 工具 栏 中 操作 范围 相同 的 按钮 要 集中 放 在 一 起 。 

(5) 工具 栏 中 每 一 个 按钮 都 要 有 相关 的 功能 提示 信息 。 

(6) 菜单 深度 一 般 要 控制 在 三 层 以 内 ,与 树 状 结构 类 似 。 

(7) 工具 栏 要 求 可 以 根据 用 户 的 要 求 自己 选择 定制 。 

(8) 一 条 工具 栏 的 长 度 最 长 不 能 超出 屏幕 宽度 。 

(9) 对 系统 常用 的 工具 栏 设置 默认 放置 位 置 。 

(10) 工具 栏 太 多 时 可 以 考虑 使 用 工具 箱 。 

(11) 工具 箱 要 具有 可 增 减 性 ,由 用 户 根据 需求 定制 。 

(12) 工具 箱 的 默认 总 宽度 不 要 超过 屏幕 宽度 的 1/5。 

(13) 状态 栏 要 能 显示 用 户 切 实 需要 的 信息 ,常用 的 有 目前 的 操作 、 系 统 状态 、 用 户 位 
置 . 用 户 信 息 ,提示 信息 ,错误 信息 等 。 如 果 某 一 操作 需要 的 时 间 较 长 ,还 应 该 显示 进度 条 和 
进程 提示 。 

(14) 滚动 条 的 长 度 能 根据 显示 信息 的 长 度 或 宽度 及 时 变换 ,以 利于 用 户 了 解 显示 信息 
的 位 置 和 百分比 。 

(15) 状态 条 的 高 度 以 放置 五 号 字 为 宜 ,滚动 条 的 宽度 比 状态 条 的 略 罕 。 

(16) 菜单 和 状态 条 中 通常 使 用 五 号 字 。 

(17) 快捷 键 和 菜单 选项 一 致 。 例 如 ,在 Windows 系统 中 按 Fl 键 总 是 得 到 帮助 信息 。 

(18) 整个 软件 使 用 同样 的 术语 。 例 如 ,Find 是 否 一 直 叫 Find, 而 不 是 有 时 叫 Search。 

(19) 按钮 位 置 和 等 价 按钮 在 整个 系统 中 保持 一 致 。 例 如 ,对 话 框 有 OK 按钮 和 Cancel 
按钮 时 ,OK 按钮 总 是 在 上 方 或 者 左 方 , 而 Cancel 按钮 总 是 在 下 方 或 右 方 。 同 样 ,Cancel 按 
钮 的 等 价 按 键 通常 是 Esc, 而 选中 按钮 的 等 价 按键 通常 是 Enter, 应 当 保 持 一 致 。 

(20) 右键 快捷 菜单 采用 与 菜单 相同 的 准则 。 


3. 合理 性 


屏幕 对 角 线 相交 的 位 置 是 用 户 直 视 的 地 方 , 正 上 方 四 分 之 一 处 为 易 吸 引用 户 注意 力 的 
位 置 ,在 放置 窗 体 时 要 注意 利用 这 两 个 位 置 。 

(1) 父 窗 体 或 主 窗 体 的 中 心 位 置 应 该 在 对 角 线 焦 点 附近 。 

(2) 子 窗 体位 置 应 该 在 主 窗 体 的 左上 和 角 或 正中 。 

(3) 多 个 子 窗 体 弹 出 时 应 该 依次 向 右 下 方 偏 移 ,以 显示 出 窗 体 标 题 为 宜 。 
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(4) 重要 的 命令 按钮 与 使 用 较 频 繁 的 按钮 要 放 在 界面 上 注目 的 位 置 。 

(5) 错误 使 用 容易 引起 界面 退出 或 关闭 的 按钮 不 应 该 放 在 易 单 击 的 位 置 。 横 排 开 头 或 
最 后 与 竖 排 最 后 为 易 单 击 位 置 。 

(6) 与 正在 进行 的 操作 无 关 的 按钮 应 该 加 以 屏蔽 (Windows 中 用 灰色 显示 , 没 法 使 用 该 
按钮 ) 。 

(7) 对 可 能 造成 数据 无 法 恢复 的 操作 必须 提供 确认 信息 ,给 用 户 放弃 选择 的 机 会 。 

(8) 非法 的 输入 或 操作 应 有 足够 的 提示 说 明 。 

(9) 对 运行 过 程 中 出 现 问题 而 引起 错误 的 地 方 要 有 提示 ,让 用 户 明白 错误 出 处 ,避免 形 
成 无 限期 的 等 待 。 

(10) 提示 、 和 警告 或 错误 说 明 ,应 该 恰当 明了 。 


4. 美观 与 协调 性 


界面 应 该 适合 美学 观点 ,使 人 感觉 协调 舒适 ,能 在 有 效 的 范围 内 吸引 用 户 的 注意 力 。 美 
观 与 协调 性 细则 如 下 。 

(1) 长 宽 接 近 黄 金 点 比例 ,切忌 长 宽 比 例 失调 ,或 者 宽度 超过 长 度 。 

(2) 界面 布局 要 合理 。 界 面 元 素 不 宜 过 于 密集 ,也 不 能 过 于 稀 朴 ,要 合理 利用 空间 。 

(3) 按钮 大 小 基本 相近 , 忌 用 太 长 的 名 称 , 以 免 占 用 过 多 的 界面 位 置 。 

(4) 按钮 的 大 小 要 与 界面 的 大 小 和 空间 协调 。 

(5) 避免 空旷 的 界面 上 放置 很 大 的 按钮 。 

(6) 放置 完 控件 后 ,界面 不 应 有 很 大 的 空缺 位 置 。 

(7) 字体 的 大 小 要 与 界面 的 大 小 比例 协调 ,通常 使 用 的 字体 中 的 宋体 9 一 12 号 较为 美观 。 

(8) 前 景 与 背景 色 搭配 合理 协调 ,反差 不 宜 太 大 .最 好 少 用 深 色 , 如 大 红 、 大 绿 等 。 常 用 
色 考 虑 使 用 Windows 界面 色调 。 

(9) 主 色调 要 柔和 ,具有 亲和力 与 磁力 ,坚决 杜绝 刺 目 的 颜色 。 

(10) 整个 界面 色彩 应 尽量 少 地 使 用 类 别 不 同 的 颜色 。 

(11) 界面 风格 要 保持 一 致 , 字 的 大 小 .颜色 .字体 要 相同 ,除非 是 需要 艺术 处 理 或 有 特 
殊 要 求 的 地 方 。 

(12) 如 果 窗 体 支持 最 小 化 、 最 大 化 和 放大 , 窗 体 上 的 控件 也 要 随 着 窗 体 而 缩放 。 切 忌 
只 放大 窗 体 而 忽略 控件 的 缩放 。 

(13) 对 于 含有 按钮 的 界面 一 般 不 应 该 支持 缩放 , 即 右 上 角 只 有 关闭 功能 。 

(14) 通常 父 窗 体 支持 缩放 时 , 子 窗 体 没有 必要 缩放 。 

(15) 如 果 能 给 用 户 提 供 自 定义 界面 风格 则 更 好 ,由 用 户 自 己 选择 颜色 .字体 等 。 

进行 Web 界面 通用 性 测试 时 ,可 按照 以 上 要 求 逐 项 对 照 检查 , 列 出 具体 的 检查 点 进行 
测试 。 


人 3 Web 界面 测试 


用 户 虽然 不 是 专业 人 员 ,但 是 对 界面 效果 的 印象 是 很 重要 的 ,界面 的 优 劣 将 直接 影响 网 
站 的 访问 量 和 用 户 “ 回 头 率 ”"。 用 户 界面 测试 的 目标 在 于 确保 用 户 界 面向 用 户 提供 了 适当 的 
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访问 ,核实 用 户 与 软件 的 交互 效果 。 除 此 之 外 ,还 要 确保 界面 设计 符合 预期 要 求 , 并 遵循 公 
司 或 行业 的 标准 。 

Web 界面 测试 是 对 Web 应 用 程序 进行 正确 性 、 直 观 性 一致 性 、 灵 活性 、 舒 适 性 等 的 验 
证 。Web 界面 测试 包括 导航 测试 .图形 测 试 、 内 容 测试 、 表 格 测试 和 整体 界面 测试 。 


4.3.1 导航 测试 


导航 描述 了 用 户 在 一 个 页 面 内 操作 的 方式 ,包括 不 同 的 用 户 接口 控制 之 间 ( 如 按钮 、 对 
话 框 、 列 表 和 窗口 等 ) ,或 不 同 的 连接 页 面 之 间 。 导 航 的 直观 性 、 信 息 包容 度 .站 点 地 图 ,搜索 
引擎 ,以 及 导航 帮助 的 直观 性 决定 了 一 个 Web 应 用 系统 是 否 易于 导航 。 

Web 应 用 系统 的 用 户 趋向 于 目的 驱动 。 一 般 地 ,人 们 会 很 快 地 扫描 一 个 Web 应 用 系 
统 , 看 是 否 有 满足 自己 需要 的 信息 ,如 果 没 有 ,就 会 很 快 地 离开 。 很 少 有 用 户 愿意 花 时 间 去 
熟悉 Web 应 用 系统 的 结构 。 因 此 ,Web 应 用 系统 导航 帮助 要 尽 可 能 地 准确 ,避免 在 一 个 页 
面 上 放 太 多 的 信息 降低 导航 的 直观 性 。 在 一 个 页 面 上 放 太 多 的 信息 往往 起 到 与 预期 相反 的 
效果 。 

导航 的 男 一 个 重要 方面 是 Web 应 用 系统 的 页 面 结构 、 导 航 、 菜 单 、 连 接 风格 的 一 致 性 。 
提高 风格 统一 度 ,可 使 用 户 在 最 短 的 时 间 内 知道 Web 应 用 系统 里 面 是 否 还 有 内 容 、 内 容 在 
什么 地 方 。Web 应 用 系统 的 层次 一 旦 决定 后 ,就 要 着 手 测试 用 户 导 航 功 能 ,让 最 终 用 户 参 
与 这 种 测试 ,效果 将 更 加 明显 。 

导航 测试 的 最 终 目的 是 保证 在 Web 应 用 程序 投入 使 用 前 发 现 导航 机 制 中 的 各 种 错误 。 
Splaine 和 Jaskiel 建议 测试 下 面 的 导航 机 制 。 

(1) 导航 链接 

导航 链接 包括 Web 应 用 程序 中 的 内 部 链接 ,指向 其 他 应 用 程序 的 外 部 链接 和 特定 页 面 
中 的 锚 点 。 通 过 测试 保证 选择 链接 时 可 以 获得 相应 的 内 容 , 以 及 实现 相应 的 功能 。 

(2) 重 定向 

在 用 户 请 求 不 存在 的 URL ,或 者 选择 的 链接 对 象 被 删除 或 者 名 字 被 修改 的 情况 下 ,应 
向 用 户 展 示 相 应 消息 ,并 将 导航 重新 指向 另 一 个 页 面 。 测 试 时 ,通过 请 求 不 正确 的 内 部 链接 
或 外 部 URL 来 测试 ,并 对 程序 的 相应 处 理 进行 评测 。 

(3) 书签 

书签 属于 浏览 器 的 功能 ,测试 Web 应 用 程序 保证 创建 书签 时 可 以 提取 到 有 意义 的 网 页 
标题 。 

(4) 框架 

每 个 框架 都 包含 特定 网 页 的 内 容 。 一 个 框架 集 包含 多 个 框架 ,并 可 以 同时 展现 多 个 网 
页 。 一 个 框架 或 框架 集 可 能 存在 于 另 一 个 之 中 ,对 这 些 导航 和 展现 机 制 进行 测试 ,看 是 否 可 
以 获得 正确 的 内 容 、 合 适 的 外 观 与 大 小 ,以 及 浏览 器 的 兼容 性 。 

(5) 站 点 地 图 

应 当 测试 人口 以 保证 通过 链接 使 用 户 得 到 正确 的 内 容 和 合适 的 功能 。 

(6) 内 部 搜索 引擎 

复杂 的 Web 应 用 程序 常常 包含 成 百 上 千 的 内 容 对 象 。 一 个 内 部 搜索 引擎 允许 用 户 通 
过 关键 字 搜索 得 到 需要 的 内 容 。 内 部 搜索 引擎 测试 是 测试 搜索 的 精确 性 和 完整 性 ,搜索 引 
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擎 的 错误 处 理 以 及 高 级 搜索 特性 。 
除了 测试 以 上 导航 内 容 外 ,还 需要 检查 下 列 几 个 方面 。 
(1) 导航 按钮 风格 和 应 用 系统 的 页 面 结构 ,菜单 、 链 接 的 风格 应 当 一 致 。 
(2) 图 片 按钮 导航 或 按钮 导航 应 当 可 以 准确 切换 到 对 应 功能 。 
(3) 鼠标 置 于 导航 按钮 上 时 应 该 显示 成 特殊 的 鼠标 指针 , 且 导 航 按钮 应 该 高 亮 显示 。 


4.3.2 图 形 测 试 


在 Web 应 用 系统 中 ,适当 地 加 入 图 片 和 动画 , 既 能 起 到 广告 宣传 的 作用 ,又 能 起 到 美化 
页 面 的 功能 。 一 个 Web 应 用 系统 的 图 形 可 以 包括 图 片 动画 .边框 颜色. 字体. 背景、 按钮 
等 。 在 利用 好 图 形 的 好 处 和 优势 的 同时 ,要 避免 访问 下 载 速度 过 慢 。 

进行 图 形 测试 时 可 以 从 以 下 几 个 方面 考虑 。 

(1) 确保 图 形 有 明确 的 用 途 , 图 片 或 动画 排列 有 序 并 且 目 的 明确 。 图 片 或 动画 不 要 太 
多 ,以 免 浪费 传输 时 间 。 

(2) 检查 图 片 的 大 小 和 质量 ,一 般 采 用 JPG、GIF、PNG 格式 。 在 不 影响 图 片 质量 的 情 
况 下 ,使 图 片 的 大 小 尽量 地 小 (如 图 片 大 小 控制 在 30KB 以 下 )。 

(3) 图 片 按钮 链接 有 效 ,并 且 链 接 的 属性 正确 。 

(4) 确保 GIF 动画 循环 模式 设置 正确 ,其 颜色 显示 正常 。 

(5) Flash Silverlight 等 多 媒体 元 素 显示 正常 。 如 果 是 控件 类 ,确保 其 功能 实现 正确 。 

(6) 确保 所 有 页 面 字体 的 风格 一 致 。 

(7) 背景 颜色 应 该 与 字体 颜色 和 前 景 颜色 相 搭配 。 

(8) 确保 文字 回 绕 正确 。 如 果 说 明文 字 指 向 右边 的 图 片 ,应 该 确保 该 图 片 出 现在 右边 。 
不 要 因为 使 用 图 片 而 使 窗口 和 段落 排列 错位 或 者 出 现 孤 行 。 

(9) 确保 图 片 显示 完整 ,没有 出 现 错误 或 被 部 分 覆盖 。 


4.3.3 内 容 测试 


Web 的 内 容 测试 目的 是 检验 Web 应 用 系统 提供 信息 的 正确 性 、 准 确 性 和 相关 性 。 

信息 的 正确 性 是 指 信息 是 正确 的 和 可 靠 的 。 例 如 ,在 商品 价格 列表 中 ,错误 的 价格 可 能 
引起 财政 问题 甚至 导致 法 律 纠纷 。 

信息 的 准确 性 是 指 是 否 有 语法 或 拼写 错误 。 这 种 测试 通常 使 用 一 些 文字 处 理 软 件 来 进 
行 , 例 如 使 用 Microsoft Word 的 “拼音 与 语法 检查 ”功能 ,进行 语法 和 拼音 的 纠正 。 

信息 的 相关 性 是 指 在 当前 页 面 可 以 找到 与 当前 浏览 信息 相关 的 信息 列表 或 人 口 ,也 就 
是 一 般 Web 站 点 中 所 谓 的 “相关 文章 列表 ”。 

进行 页 面 内 容 测试 ,可 以 从 以 下 几 个 方面 进行 检查 。 

(1) 检查 是 否 有 语法 或 拼写 错误 ,文字 表达 是 否 恰当 。 确 保 网 站 页 面 中 没有 错别字 , 特 
别 是 在 标题 中 ,更 不 能 有 明显 的 错别字 。 

(2) 确保 链接 引用 正确 ,链接 的 形式 和 位 置 易于 理解 。 

(3) 网 页 的 各 个 页 面 标题 应 有 层次 感 .标题 能 够 正确 标识 页 面 的 内 容 。 读 者 可 能 会 因 
为 进入 网 站 的 比较 深层 次 的 页 面 , 然 后 阅读 的 时 候 突然 开小差 而 不 知道 现在 是 在 阅读 哪些 
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方面 的 内 容 , 但 是 设计 友好 的 网 页 的 标题 可 以 直观 地 帮助 他 们 很 快 理解 当前 所 接触 的 网 站 
内 容 。 

(4) 重要 内 容 要 直观 。 很 多 网 站 都 是 为 了 宣传 某 些 产品 或 者 某 种 服务 ,因此 对 应 用 户 
需要 的 关键 词 信息 ,如 公司 简介 、 联 系 人 、 联 系 方式 、 在 线 反 馈 等 应 该 直观 展示 ,否则 可 能 因 
为 用 户 找 不 到 卖家 而 失去 销售 机 会 。 

(5) 尽量 避免 要 求 用 户 向 右 或 者 向 下 拖 动 滚动 条 才能 看 见 网 站 的 重要 信息 。 很 多 网 站 
为 了 给 用 户 提供 信息 量 更 大 的 内 容 , 读 者 要 阅读 的 时 候 则 需要 随时 拖 动 滚动 条 ,这 样 的 网 页 
内 容 可 能 会 给 读者 带 来 不 好 的 用 户 体验 。 


4.3.4 表格 测试 


表格 (Table) 是 页 面 的 重要 元 素 ,是 页 面 排 版 的 主要 手段 。 用 表格 显示 信息 条 理 清楚 ， 
使 浏览 者 一 目 了 然 。 表 格 在 网 页 中 还 可 协助 布局 ,把 文字 、 图 像 、 声 音 甚至 视频 组 织 到 表格 
中 ,可 制作 出 整齐 、 清 晰 的 页 面 。 

表格 由 行 、 列 和 单元 格 三 个 部 分 组 成 ,用 于 显示 数字 和 其 他 项 以 便 快速 引用 和 分 析 。 一 
般 表 格 上 面 有 一 个 标题 ,指明 表格 要 描述 的 内 容 。 表 格 的 第 一 行 称 为 表 头 (标题 行 ) ,指明 表 
格 每 一 列 的 内 容 和 意义 。 

测试 Web 页 面 中 的 表格 时 ,可 以 从 下 列 方面 考虑 。 

(1) 有 无 标题 行 ,标题 行 是 否 居中 显示 。 

(2) 有 无 标题 列 ,标题 列 是 否 居 左 显示 。 

(3) 标题 行 . 标 题 列 中 的 单元 格 是 否 禁止 编辑 。 

(4) 非 标题 行 、 列 中 的 单元 格 是 否 允 许 编辑 。 非 标题 行 、 列 中 的 单元 格 允许 编辑 时 ,可 
参考 文本 框 的 方法 进行 测试 。 

(5) 当前 所 在 的 单元 格 是 否 提供 突出 显示 功能 ,前 景 /背景 色 、 字 体 、 字 号 是 否 正 确 ; 换 
了 , 换 列 时 ,所 在 单元 格 和 非 所 在 的 显示 是 否 正确 。 

(6) 当前 选中 的 单元 格 是 否 提供 突出 显示 功能 ,前 景 /背景 色 、 字 体 、 字 号 是 否 正确 ; 换 
行 、 换 列 时 ,选中 单元 格 和 非 选 中 的 显示 是 否 正确 。 

(7) 表格 的 某 些 列 是 否 具有 自动 排序 功能 。 如 果 可 以 自动 排序 ,检查 排序 结果 是 否 
正确 。 

(8) 选中 表格 内 容 进行 复制 和 粘贴 时 ,应 正确 复制 和 粘贴 。 测 试 时 需要 对 一 个 和 多 个 
单元 格 分 别 进行 测试 。 

(9) 分 别 检查 键盘 控制 上 下 移动 .前 后 翻 页 时 ,表格 的 表现 情况 。 

(10) 滚动 条 发 生变 化 时 ,检查 表格 的 表现 情况 。 

(11) 表格 中 内 容 显示 应 当 符合 要 求 。 例 如 表 头 内 容 统一 加 粗 居 中 ,内容 长 度 不 等 的 列 
统一 水 平 靠 左 垂直 居中 ,内 容 长 度 相等 的 列 需 要 居中 显示 。 

(12) 表格 边线 颜色 应 该 符合 整个 界面 的 配色 方案 ,表格 大 方 美观 。 表 格 边线 一 般 要 比 
内 部 线条 稍 粗 一 点 。 

(13) 表格 中 每 一 栏 的 宽度 适中 ,表格 里 的 文字 排版 布局 合理 美观。 表格 里 的 文字 较 
多 时 ,应 有 折 行 。 不 要 因为 某 一 格 的 内 容 太 多 ,而 将 整 行 的 内 容 拉 长 ,以 至 于 影响 整个 页 面 
的 样式 ,把 整个 网 页 布局 带 入 混乱 变形 的 地 步 。 
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(14) 表格 中 不 允许 出 现 按钮 链接 ,统一 使 用 字符 串 链 接 。 

(15) 同一 数据 类 型 所 在 行 / 列 的 单元 格 是 否 有 统一 的 居 左 、 居 中 、 居 右 显 示 方 式 。 
(16) 日 期 型 数据 所 在 行 / 列 单元 格 的 内 容 显 示 格式 应 当 一 致 。 

(17) 时 间 型 数据 所 在 行 / 列 单元 格 的 内 容 显示 格式 应 当 一 致 。 

(18) 货币 型 数据 所 在 行 / 列 单元 格 的 内 容 显 示 格式 应 当 一 致 。 

(19) 小 数 型 数据 所 在 行 / 列 单元 格 的 内 容 显示 格式 应 当 一 致 。 


4.3.5 整体 界面 测试 
整体 界面 是 通过 整个 Web 应 用 系统 的 页 面 结构 设计 ,给 用 户 的 一 种 整体 感觉 。 整 体 界 


面 要 求 如 下 。 


(1) 当 用 户 浏览 Web 应 用 系统 时 感到 舒适 ，; 
(2) 整个 Web 应 用 系统 的 设计 风格 一 致 
对 整体 界面 的 测试 过 程 , 其 实 是 一 个 对 最 终 用 户 进行 调查 的 过 程 。 测 试 时 ,可 以 通过 外 


部 人 员 ( 与 Web 应 用 系统 开发 没有 联系 或 联系 很 少 的 人 员 ) 的 参与 ,采取 调查 问卷 的 形式 ， 
得 到 最 终 用 户 的 反馈 信息 。 


整体 界面 测试 可 以 从 下 列 方 面 进行 考虑 。 
1. 页 面 显 示 


(1) 浏览 器 窗口 为 标准 或 最 大 时 页 面 元 素 显示 是 否 正 确 , 是 否 美观 。 

(2) 窗口 大 小 变化 时 页 面 刷 新 是 否 正确 。 

(3) 用 户 常 用 的 几 种 分 辨 率 下 页 面 元 素 显示 是 否 正确 ,是 否 美观 。 

(4) 字体 的 大 小 与 界面 的 大 小 比例 是 否 协 调 。 通 常 使 用 字体 中 的 宋体 9 一 12 号 较为 美 


,一 般 不 使 用 超过 12 号 的 字体 。 


(5) 前 景 与 背景 色 搭配 合理 协调 ,反差 不 宜 太 大 ,最 好 少 用 深 色 , 如 大 红 、 大 绿 等 。 
(6) 页 面 弹出 式 提示 界面 必须 大 小 合理 ,布局 美观 ,符合 系统 风格 。 
(7) 文字 内 容 是 否 显 示 完整 ,图 片 是 否 按 适当 比例 显示 。 


2. 页 面 布局 


(1) 布局 是 否 合理 。 布 局 不 宜 过 于 密集 ,也 不 能 过 于 空旷 ,要 合理 利用 空间 。 

(2) 文字 段落 、 图 文 排版 是 否 正 确 。 

(3) 相关 页 面 元 素 的 外 形 是 否 美观 大 方 , 大 小 是 否 合适 ,位 置 和 页 面 的 风格 是 否 协调 。 
(4) 页 面相 关 说 明 性 文字 的 位 置 是 否 正确 合适 ,鼠标 定位 在 需 说 明 的 控件 上 时 相关 提 


示 信 息 位 置 是 否 合理 。 


3. 页 面 风格 


(1) Web 页 面 结构 导航、 菜单 、 超 链接 的 风格 是 否 一 致 。 

(2) 同一 系统 中 不 同 页 面 的 整体 风格 是 否 一 致 ,是 否 美观 。 

(3) 所 有 页 面 字体 的 风格 是 否 一 致 (包括 字体 、 颜 色 、 字 号 等 )。 
(4) 各 页 面 背景 、 色 调 是 否 正确 ,是 否 美观 ,是 否 适合 应 用 环境 。 
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(5) 主 色调 要 柔和 ,具有 亲和力 与 磁力 ,坚决 杜绝 刺 目 的 颜色 。 


4. 页 面 链 接 


(1) 链接 的 形式 、 位 置 是 否 易于 理解 。 
(2) 链接 对 应 的 页 面 显示 是 否 正确 .页面 之 间 的 切换 是 否 正确 。 


(3) 指向 链接 


\ 单 击 链接 访问 后 的 链接 是 否 都 进行 了 处 理 。 


4.3.6 输入 有 效 性 验证 


用 户 在 访问 Web 页 面 时 ,可 能 会 由 于 操作 不 当 , 而 出 现 各 种 各 样 的 问题 。 在 界面 设计 
上 ,应 当 尽量 周全 地 考虑 到 各 种 可 能 发 生 的 问题 ,使 出 错 几 率 降 至 最 小 。 

(1) 排除 可 能 使 应 用 非 正常 中 止 的 错误 。 

(2) 尽 可 能 避免 用 户 无 意 输 入 无 效 的 数据 。 

(3) 采用 相关 控件 限制 用 户 输入 值 的 种 类 ,如 电话 号 码 .邮编 只 允许 输入 数字 。 

(4) 当选 项 只 有 两 个 时 ,可 以 采用 单 选 按钮 。 选 择 较 多 时 ,可 以 采用 复 选 框 。 当 选项 特 
别 多 时 ,可 以 采用 列表 框 或 下 拉 式 列表 框 ,这 样 可 避免 输入 无 效 数据 。 

(5) 避免 用 户 做 出 未 经 授权 或 没有 意义 的 操作 。 

(6) 对 可 能 引起 致命 错误 或 系统 出 错 的 输入 字符 或 动作 要 加 以 限制 或 屏蔽 。 

(7) 对 可 能 发 生 严重 后 果 的 操作 要 有 补救 措施 。 通 过 补救 措施 用 户 可 以 回 到 原来 的 正 


确 状态 。 


(8) 对 一 些 特殊 符号 ,或 与 系统 使 用 的 符号 相 冲 突 的 字符 ,输入 时 要 进行 判断 ,并 阻止 
用 户 输入 这 些 字符 。 

(9) 对 错误 操作 最 好 支持 可 逆 性 处 理 , 如 取消 系列 操作 。 

(10) 对 可 能 造成 等 待 时 间 较 长 的 操作 应 该 提供 取消 功能 。 

(11) 与 系统 采用 的 保留 字符 冲突 的 要 加 以 限制 。 

(12) 在 读 人 用户 所 输入 的 信息 时 ,根据 需要 选择 是 否 去 掉 前 后 空格 。 


人 4 界面 控件 测试 


Web 应 用 与 其 他 应 用 程序 一 样 ,也 有 许多 用 以 实现 各 种 功能 或 者 操作 的 控件 ,例如 常 
见 的 窗 体 、 菜 单 , 按 钮 . 单 选 框 、 复 选 框 、 下 拉 列 表 框 等 。 界 面 测试 时 也 需要 对 每 类 控件 进行 


测试 。 
1. 窗口 


窗口 测试 的 方法 如 下 。 


(1) 窗口 打开 
(2) 窗口 关闭 
(3) 窗口 大 小 
(4) 移动 窗口 


: 窗口 应 基于 相关 的 输入 和 菜单 命令 适当 地 打开 。 

: 窗口 能 正确 地 被 关闭 。 

: 窗口 打开 时 窗 体 大 小 要 合适 ,内 部 控件 布局 合理 。 

: 快速 或 慢 速 移动 或 滚动 窗 体 ,背景 及 窗 体 本 身 刷 新 必须 正确 。 
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(5) 缩放 窗口 : 窗口 上 的 控件 应 随 窗 体 的 大 小 变化 而 变化 。 

(6) 显示 分 辩 率 : 在 不 同 分 辨 率 的 情况 下 测试 程序 的 显示 是 否 正常 。 

(7) 窗口 内 容 : 检查 窗口 中 的 数据 内 容 能 和 否 用 鼠标 、 功 能 键 .方向 键 和 键盘 访问 。 

(8) 在 窗口 中 多 次 或 不 正确 按 鼠 标 时 ,是 否 会 导致 无 法 预料 的 副作用 。 

(9) 窗口 的 声音 .颜色 提示 和 窗口 的 操作 顺序 是 否 符合 需求 。 

(10) 活动 窗口 是 否 被 适当 地 加 亮 。 

(11) 当 窗 口 被 覆盖 并 重 调用 后 ,窗口 能 否 正确 地 再 生 。 

(12) 所 有 与 窗口 相关 的 功能 是 否 正常 。 

(13) 如 果 使 用 多 任务 ,是 否 所 有 的 窗口 被 实时 更 新 。 

(14) 系统 主 窗口 的 标题 显示 内 容 应 该 是 当前 系统 的 名 称 , 屏 项 掉 其 他 无 关 的 内 容 。 严 


禁 出 现 与 系统 登录 和 程序 路 径 相关 的 信息 。 


对 于 弹出 窗口 需 考虑 下 列 方面 。 

(1) 弹出 窗口 的 风格 应 该 和 系统 风格 保持 一 致 ,弹出 窗口 界面 布局 应 该 合理 美观 。 

(2) 弹出 窗口 应 该 屏蔽 [最 小 化 3 和 【最 大 化 ] 按 钮 ,只 保留 关闭] 按钮 。 

(3) 弹出 窗口 的 显示 位 置 应 该 合理 美观 , 且 允 许 拖 动 。 

(4) 弹出 窗口 的 标题 为 对 应 功能 名 称 , 屏 蔽 掉 其 他 无 关 的 内 容 。 

(5) 提示 信息 弹出 框 标题 应 显示 为 提示”, 警 告 和 错误 提示 框 的 标题 应 分 别 显示 为 " 警 


告 " 和 “错误 ”。 


2. 菜单 


菜单 是 界面 上 最 重要 的 元 素 ,进行 菜单 测试 时 需要 考虑 下 列 内 容 。 

(1) 菜单 功能 是 否 正确 执行 ,选择 的 菜单 项 与 实际 执行 内 容 是 否 一 致 。 

(2) 菜单 名 是 否 有 错别字 ,菜单 名 是 否 具有 自 解释 性 。 

(3) 菜单 名 是 否 存在 中 英文 混合 。 

(4) 常用 的 菜单 要 有 快捷 命令 方式 。 检 查 快捷 键 、 热 键 是 否 重复 ,快捷 键 、 热 键 操作 是 


否 有 效 。 


(5) 鼠标 右键 快捷 菜单 是 否 可 用 。 

(6) 下 拉 式 操作 是 否 正常 工作 。 

(7) 菜单 . 调 色 板 和 工具 条 是 否 工作 正确 。 

(8) 是 否 适当 地 列 出 了 所 有 的 菜单 功能 和 下 拉 式 子 功 能 。 

(9) 是 否 可 能 通过 鼠标 访问 所 有 的 菜单 功能 。 

(10) 相同 功能 按钮 的 图 标 和 文字 是 否 一 致 。 

(11) 菜单 功能 是 否 随 当前 的 窗口 操作 加 亮 或 变 灰 。 

(12) 菜单 项 是 否 有 帮助 ,是 否 语 境 相关 。 

(13) 光标 、 处 理 指示 器 和 识别 指针 随 着 操作 恰当 地 改变 。 

(14) 菜单 项 是 否 显 示 在 合适 的 语 境 中 。 例 如 ,不 同 权限 的 用 户 登录 一 个 应 用 程序 ,不 


同 级 别 的 用 户 可 以 看 到 不 同 级 别 的 菜单 并 使 用 不 同 级 别 的 功能 。 


(15) 下 拉 菜 单 要 根据 菜单 选项 的 含义 进行 分 组 ,并 且 按 照 一 定 的 规则 进行 排列 ,用 横 


线 隔 开 。 
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(16) 一 组 菜单 的 使 用 有 先后 要 求 或 有 向 导 作用 时 ,应 该 按 先 后 次 序 排列 。 

(17) 没有 顺序 要 求 的 菜单 项 按 使 用 频率 和 重要 性 排列 ,常用 的 放 在 开头 ,不 常用 的 靠 
后 放置 ; 重要 的 放 在 开头 ,次 要 的 放 在 后 边 。 

(18) 如 果菜 单 选项 较 多 ,应 该 采用 加 长 菜单 的 长 度 而 减少 深度 的 原则 排列 。 

(19) 菜单 深度 一 般 要 求 控制 在 三 层 以 内 。 

(20) 对 与 当前 操作 无 关 的 菜单 要 用 屏 项 的 方式 加 以 处 理 。 如 果 采 用 动态 加 载 方式 , 即 
只 有 需要 的 菜单 才 显示 。 

(21) 菜单 前 的 图 标 不 宜 太 大 ,最 好 与 字 高 保持 一 致 。 

进行 测试 时 还 要 注意 状态 栏 是 否 显示 正确 ,工具 栏 的 图 标 执行 操作 是 否 有 效 ,是 否 与 菜 
单 栏 中 图 标 显 示 一 致 ,错误 信息 内 容 是 否 正确 无 错别字 且 明 确 等 。 


3. 链接 


在 界面 测试 中 ,对 链接 的 测试 主要 考虑 链接 的 显示 问题 ,需要 从 下 列 方面 进行 检查 。 

(1) 超级 链接 的 文字 颜色 应 该 和 所 在 页 面 普 通 文字 的 颜色 区 分 开 , 但 要 融和 人 整个 页 面 
的 配色 方案 。 

(2) 当 鼠 标 指针 移动 到 超级 链接 上 时 应 自动 变 为 手 形 ( 也 可 同时 变化 链接 的 背景 色 )， 
且 可 以 通过 单 击 打开 链接 对 应 的 界面 或 文件 。 

(3) 鼠标 指针 在 普通 文本 显示 区 域 决 不 能 随便 变化 形状 。 


4. 按钮 


(1) 按钮 界面 美观 ,大 小 合理 ,按钮 上 的 文字 应 居中 。 

(2) 按钮 和 整个 页 面 风格 保持 一 致 ,布局 位 置 合理 。 

(3) 功能 操作 的 [确认 】【 重 置 ] 【取消 ] 按 钮 应 该 在 所 有 输入 控件 下 方 的 合适 位 置 。 

(4) 鼠标 指针 移动 到 按钮 上 时 应 该 自动 变 为 手 形 ( 也 可 同时 变化 按钮 背景 色 )。 

(5) 单 击 按钮 后 能 正确 执行 相应 的 操作 。 例 如 单 击 【 确 定 ] 按 钮 ,正确 执行 操作 ; 单 击 
【取消 3 按钮 ,退出 窗口 。 

(6) 对 非法 的 输入 或 操作 给 出 足够 的 提示 说 明 。 例 如 输入 月 工作 天 数 为 32 时 , 单 击 
【确定 后 系统 应 给 出 提示 信息 。 

(7) 对 可 能 造成 数据 无 法 恢复 的 操作 必须 给 出 确认 信息 ,以 免 给 用 户 造成 无 法 挽回 的 
损失 。 


5. 滚动 条 


滚动 条 通常 为 text 文本 框 \list 列表 框 、 表 格 、 页 面 等 所 有 ,测试 时 可 以 从 下 列 方面 
考虑 。 

(1) 检查 滚动 条 的 可 见 性 。 当 页 面 内 容 能 够 在 页 面 内 完全 显示 时 ,滚动 条 不 可 见 ; 当 
页 面 内 容 在 页 面 内 不 能 完全 显示 时 ,滚动 条 才 出 现 。 

(2) 滚动 条 的 长 度 应 该 根据 显示 信息 的 长 度 或 宽度 及 时 变换 。 这 样 有 利于 用 户 了 解 显 
示 信 息 的 位 置 和 百分比 。 

(3) 鼠标 单 击 行 滚动 条 的 上 下 箭头 ,检查 滚动 条 所 属 控件 /区 域 逐 行 移动 的 正确 性 。 
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(4) 鼠标 单 击 列 滚动 条 的 左右 箭头 ,检查 滚动 条 所 属 控件 /区 域 逐 列 移动 的 正确 性 。 
(5) 单 击 滚动 条 时 ,检查 所 属 控件 /区 域 显示 的 正确 性 。 

(6) 拖 动 滚动 条 时 ,屏幕 刷新 正常 ,不 会 出 现 乱码 ,所 属 控件 /区 域 显 示 正 确 。 

(7) 用 鼠标 滚轮 控制 滚动 条 ,能 正常 控制 滚动 条 的 位 置 。 


6. 对 话 框 /消息 框 


(1) 一 般 来 说 重要 的 或 复杂 的 操作 成 功 后 应 该 给 予 提 示 ,根据 系统 的 特性 选择 弹出 信 
息 框 或 文字 显示 。 若 需要 后 续 操 作 ,在 操作 成 功 后 应 给 予 提 示 。 

(2) 非法 的 输入 或 操作 应 给 出 足够 的 提示 说 明 。 

(3) 对 可 能 造成 数据 无 法 恢复 的 操作 应 该 给 予 确认 信息 ,给 用 户 放弃 选择 的 机 会 ,如 删 
除 操作 。 

(4) 提示 信息 不 宜 太 长 ,宽度 不 能 超过 当前 窗口 的 1/2。 当 超过 此 比例 时 , 视 具体 情况 
进行 换行 。 有 多 行 提示 信息 的 ,选择 对 齐 方式 (一 般 为 左 对 齐 )。 

(5) 静态 文本 标签 一 般 采用 左 对 齐 , 这 样 显得 更 有 条 理 且 易于 浏览 。 静 态 文本 标签 一 
般 置 于 相关 控件 的 左边 ,选项 过 多 过 长 时 放 在 上 面 。 

(6) 复杂 或 带 有 专业 性 的 操作 或 输入 最 好 在 输入 项 下 面 给 予 提示 。 


7. 浏览 器 前 进 和 后 退 

在 打开 的 页 面 中 ,多 次 使 用 浏览 器 的 后 退 键 和 前 进 键 ,检查 页 面 的 表现 ,看 是 否 会 出 错 。 
8. 刷新 按钮 

在 Web 系统 中 ,使 用 浏览 器 的 刷新 键 ,检查 页 面 的 情况 ,看 是 否 会 出 错 。 

9. 各 种 控件 在 窗 体 中 混合 使 用 时 的 测试 


(1) 测试 控件 间 的 相互 作用 。 

(2) 检查 Tab 键 的 功能 是 否 有 效 ,Tab 键 的 顺序 一 般 是 从 上 到 下 、 从 左 到 右 。 

(3) 检查 快捷 键 的 使 用 ,并 逐一 测试 。 

(4) 检查 Enter 键 和 Esc 键 是 否 有 效 。 

在 测试 中 ,应 遵循 由 简 入 繁 的 原则 ,先进 行 单个 控件 功能 的 测试 ,确保 实现 无 误 后 ,再 进 
行 多 个 控件 的 功能 组 合 的 测试 。 


45 用 户 体验 测试 


用 户 体验 测试 就 是 测试 人 员 站 在 用 户 的 角度 进行 的 一 系列 体验 使 用 。 例 如 界面 是 否 友 
好 、 操 作 是 否 流畅 、 功 能 是 否 达到 用 户 使 用 要 求 等 。 目 前 用 户 体验 测试 已 成 为 软件 企业 关注 
的 流程 。 用 户 体验 测试 需要 对 测试 的 目的 介入 时 间 、 测 试 的 周期 ,场景 人员 的 选 型 都 要 做 
出 深入 的 分 析 和 界定 。 
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4.5.1 用 户 体验 测试 的 内 容 


进行 用 户 体验 测试 的 目的 是 为 了 判定 软件 产品 是 否 能 使 用 户 快速 地 接受 和 使 用 , 即 验 
证 软件 产品 是 否 不 符合 用 户 的 习惯 ,甚至 让 用 户 对 产品 产生 抗拒 。 因 此 针对 用 户 的 体验 测 
试 介入 时 间 应 该 尽 可 能 早 。 如 果 在 系统 快要 发 布 前 才 进 行 用 户 体验 测试 ,可 能 会 发 现 有 些 
页 面 结构 不 符合 用 户 操作 习惯 ,或 有 些 功 能 对 于 用 户 而 言 需要 强化 ,或 有 些 操作 步骤 过 于 烦 
琐 , 此 时 再 对 代码 进行 修改 和 优化 ,无 疑 是 危险 的 行为 。 比 较 合理 的 做 法 是 当 页 面 的 模型 定 
稿 时 就 进行 用 户 体验 测试 ,不 过 由 于 此 时 的 测试 是 静态 的 ,所 以 还 不 足以 确保 用 户 实际 的 操 
作 感 受 。 接 下 来 还 需要 在 系统 提交 功能 测试 后 ,再 次 进行 用 户 体验 测试 ,此 时 主要 是 收集 用 
户 的 操作 习惯 和 使 用 感受 。 


4.5.2 Web 用 户 体验 测试 


Web 网 站 体验 是 利用 网 络 特性 ,为 客户 提供 完善 的 网 络 体验 ,提高 客户 的 满意 度 , 从 而 
与 客户 建立 起 紧密 而 持续 的 关系 。 

Web 网 站 体验 测试 包括 下 列 几 个 方面 。 

(1) 感官 体验 : 呈现 给 用 户 视听 上 的 体验 ,强调 舒适 性 。 

(2) 交互 体验 : 呈现 给 用 户 操作 上 的 体验 ,强调 易 用 性 。 

(3) 情感 体验 : 呈现 给 用 户 心理 上 的 体验 ,强调 友好 性 。 

(4) 浏览 体验 : 呈现 给 用 户 浏览 上 的 体验 ,强调 吸引 性 。 

(5) 信任 体验 : 呈现 给 用 户 的 信任 体验 ,强调 可 靠 性 。 


1. 感官 体验 


(1) 设计 风格 : 符合 目标 客户 的 审美 习惯 ,并 具有 一 定 的 引导 性 。 网 站 在 设计 之 前 , 必 
须 明 确 目 标 客户 群体 ,并 针对 目标 客户 的 审美 喜好 进行 分 析 , 从 而 确定 网 站 的 总 体 设 计 
风格 。 

(2) 网 站 Logo: 确保 Logo 的 保护 空间 ,确保 品牌 清晰 展示 而 又 不 占据 过 多 空间 。 

(3) 页 面 速度 : 正常 情况 下 ,尽量 确保 页 面 在 5 秒 内 打开 。 如 果 是 大 型 门户 网 站 ,必须 
考虑 南北 互通 问题 ,进行 必要 的 压力 测试 。 

(4) 页 面 布局 : 重点 突出 , 主 次 分 明 ,图 文 并 茂 。 

(5) 页 面色 彩 : 主 色调 和 辅助 色 不 超过 三 种 颜色 。 以 恰当 的 色彩 明度 和 亮度 ,确保 浏 
览 者 的 浏览 舒适 度 。 

(6) 页 面 导 航 : 导航 条 清晰 明了 、 突 出 ,层级 分 明 。 

(7) 页 面 大 小 : 适合 多 数 浏览 器 浏览 。 

(8) 图 片 展示 : 比例 协调 ,不 变形 、 图 片 清 晰 。 图 片 排 列 间 距 适 中 。 

(9) 图 标 使 用 : 简洁 \ 明 了 、 易 懂 、 准 确 , 与 页 面 整体 风格 统一 。 

(10) 动画 效果 : 打开 速度 快 ,动画 效果 节奏 适中 ,不 干扰 主 画 面 浏览 。 

(11) 广告 位 : 避免 干扰 视线 ,广告 图 片 符合 整体 风格 ,避免 喧 宾 夺 主 。 

(12) 背景 音乐 : 与 整体 网 站 主题 统一 ,文件 要 小 ,不 能 干扰 阅读 。 要 设置 开关 按钮 及 
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音量 控制 按钮 。 
2. 交互 体验 


(1) 会 员 申请 : 介绍 清晰 的 会 员 权 责 , 并 提示 用 户 确认 已 阅读 条 款 。 

(2) 会 员 注册 : 流程 清晰 \ 简 洁 。 待 会 员 注册 成 功 后 ,再 完善 详细 资料 。 

(3) 表单 填写 : 尽量 采用 下 拉 选 择 , 需 填 写 部 分 需 注 明 要 填写 内 容 , 并 对 必 填 字段 做 出 
限制 (如 日 期 .手机 位 数 、 邮 编 等 ,避免 填 人 无 效 信息 ) 。 

(4) 表单 提交 : 表单 填写 后 需 输入 验证 码 ,防止 注水 。 

(5) 按钮 设置 : 对 于 交互 性 的 按钮 必须 清晰 突出 ,以 确保 用 户 可 以 清楚 地 单 击 。 

(6) 单 击 提示 : 单 击 浏览 过 的 信息 颜色 需要 显示 为 不 同 的 颜色 ,以 区 分 于 未 阅读 内 容 ， 
外 复 阅读 。 

(7) 错误 提示 : 若 表单 填写 错误 ,应 指明 填写 错误 之 处 ,并 保存 原 有 填写 内 容 , 减 少 重 
复工 作 。 

(8) 在 线 问答 : 用 户 提问 后 后 台 要 及 时 反馈 ,后 台 显示 有 新 提问 以 确保 回复 及 时 。 

(9) 意见 反馈 : 当 用 户 在 使 用 中 发 生 任何 问题 ,都 可 随时 提供 反馈 意见 。 

(10) 在 线 调 查 : 为 用 户 关注 的 问题 设置 调查 ,并 显示 调查 结果 ,提高 用 户 的 参与 度 。 

(11) 在 线 搜索 : 搜索 提交 后 ,显示 清晰 列表 ,并 将 该 搜索 结果 中 的 相关 字符 以 不 同 颜 
色 加 以 区 分 。 

(12) 页 面 刷新 : 尽量 采用 无 刷新 (Ajax) 技 术 ,以 减少 页 面 的 刷新 率 。Ajax 是 新 兴 的 网 
络 开发 技术 的 象征 。 它 将 JavaScript 和 XML 技术 结合 在 一 起 ,用 户 每 次 调用 新 数据 时 ,无 
须 反 复 向 服务 器 发 出 请 求 ,而 是 在 浏览 器 的 缓存 区 预先 获取 下 次 可 能 用 到 的 数据 ,界面 的 响 
应 速度 因此 得 到 了 显著 提升 。 

(13) 新 开 窗 口 : 尽量 减少 新 开 的 窗口 ,以 避免 开 过 多 的 无 效 窗口 ,设置 弹出 窗口 的 关 
闭 功 能 。 

(14) 资料 安全 : 确保 资料 的 安全 保密 ,对 于 客户 密码 和 资料 进行 加 密 保存 。 

(15) 显示 路 径 : 无 论 用 户 浏览 到 哪 一 个 层级 、. 哪 一 个 页 面 ,都 可 以 清楚 看 到 该 页 面 的 
路 径 。 

3. 浏览 体验 


(1) 栏目 的 命名 : 与 栏目 内 容 准 确 相关 ,简洁 清晰 ,不 宜 过 于 深奥 。 

(2) 栏目 的 层级 : 最 多 不 超过 三 层 , 导 航 清 晰 ,运用 JavaScript 等 技术 使 得 层级 之 间 伸 
缩 便利 。 

(3) 内 容 的 分 类 : 同一 栏目 下 ,不 同 分 类 结构 清晰 .不 要 互相 包含 或 混淆 。 

(4) 内 容 的 丰富 性 : 每 一 个 栏目 应 确保 足够 的 信息 量 , 避 免 栏 目 无 内 容 情况 出 现 。 

(5) 内 容 的 原创 性 : 尽量 多 采用 原创 性 内 容 , 以 确保 内 容 的 可 读 性 。 

(6) 信息 的 更 新 频率 : 确保 稳定 的 更 新 频率 ,以 吸引 浏览 者 经 常 浏览 。 

(7) 信息 的 编写 方式 : 段落 标题 加 粗 .以 区 别 于 内 文 。 

(8) 新 文章 的 标记 : 为 新 文章 提供 不 同 标识 (如 new) ,吸引 浏览 者 查看 。 

(9) 文章 导读 : 为 重要 内 容 在 首页 设立 导读 ,使 得 浏览 者 可 以 了 解 到 所 需 信息 。 文 字 


避免 
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截取 字数 准确 ,避免 断章取义 。 

(10) 精彩 内 容 的 推荐 : 在 频道 首页 或 文章 左右 侧 , 提 供 精彩 内 容 推荐 ,吸引 浏览 者 
浏览 。 

(11) 相关 内 容 的 推荐 : 在 用 户 浏览 文章 的 左右 侧 或 下 部 ,提供 相关 内 容 推荐 ,吸引 浏 
览 者 浏览 。 

(12) 收藏 夹 的 设置 : 为 会 员 设置 收藏 夹 ,对 于 喜爱 的 产品 或 信息 ,可 进行 收藏 。 

(13) 信息 的 搜索 : 在 页 面 的 醒目 位 置 ,提供 信息 搜索 框 ,便于 查找 到 所 需 内 容 。 

(14) 页 面 打 印 : 允许 用 户 打印 该 页 资料 ,以 便于 保存 。 

(15) 文字 排列 : 标题 与 正文 区 隔 明显 ,段落 清晰 。 

(16) 文字 字体 : 采用 易于 阅读 的 字体 ,避免 文字 过 小 或 过 密 造 成 的 阅读 障碍 。 可 对 字 
体 进 行 大 中 小 设置 ,以 满足 不 同 的 浏览 习惯 。 

(17) 页 面 底 色 : 不 能 干扰 主体 页 面 的 阅读 。 

(18) 页 面 的 长 度 : 设置 一 定 的 页 面 长 度 ,避免 页 面 过 长 而 影响 阅读 。 

(19) 分 页 浏览 : 对 于 长 篇 文章 进行 分 页 浏览 。 

(20) 语言 版 本 : 为 面向 不 同 国家 的 客户 提供 不 同 的 浏览 版 本 。 

(21) 快速 通道 : 为 有 明确 目的 的 用 户 提 供 快速 入 口 。 


4. 情感 体验 


(1) 客户 分 类 : 将 不 同 的 浏览 者 进行 划分 ,为 客户 提供 不 同 的 服务 。 

(2) 友好 提示 : 对 于 每 一 个 操作 进行 友好 提示 ,以 增加 浏览 者 的 亲 和 度 。 
(3) 会 员 交流 : 提供 便利 的 会 员 交 流 功 能 (如 论坛 ) ,增进 会 员 感情 。 

(4) 售后 反馈 : 定期 进行 售后 的 反馈 跟踪 .提高 客户 满意 度 。 

(5) 会 员 优 惠 : 定期 举办 会 员 优 惠 活动 ,让 会 员 感 觉 到 实 实 在 在 的 利益 。 
(6) 会 员 推荐 : 根据 会 员 资 料及 购买 习惯 ,为 其 推荐 适合 的 产品 或 服务 。 
(7) 用 户 参 与 : 提供 用 户 评论 ,投票 等 功能 ,让 会 员 更 多 地 参与 进来 。 
(8) 会 员 活动 : 定期 举办 网 上 会 员 活动 ,提供 会 员 网 下 交流 机 会 。 

(9) 专家 答疑 : 为 用 户 提出 的 疑问 进行 专业 解答 。 

(10) 邮件 问候 : 针对 不 同 客户 ,为 客户 定期 提供 邮件 /短信 问候 ,增进 与 客户 间 的 感情 。 
(11) 好 友 推荐 : 提供 邮件 推荐 功能 。 

(12) 网 站 地 图 : 为 用 户 提供 清晰 的 网 站 指引 。 


5. 信任 体验 


(1) 公司 介绍 : 真实 可 靠 的 信息 发 布 , 包 括 公 司 规模 、 发 展 状 况 、 公 司 资质 等 。 
(2) 投资 者 关系 : 上 市 公司 需 为 股民 提供 真实 准确 的 年 报 、 财 务 信息 等 。 

(3) 服务 保障 : 将 公司 的 服务 保障 清晰 列 出 ,增强 客户 信任 。 

(4) 页 面 标题 : 准确 地 描述 公司 名 称 及 相关 内 容 。 

(5) 文章 来 源 : 为 摘 引 的 文章 标注 摘 引 来 源 ,避免 版 权 纠纷 。 

(6) 文章 编辑 作者 : 为 原创 性 文章 注 明 编辑 或 作者 ,以 提高 文章 的 可 信 度 。 
(7) 联系 方式 : 提供 准确 有 效 的 地 址 .电话 等 联系 方式 ,便于 查找 。 
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(8) 服务 热线 : 将 公司 的 服务 热线 列 在 醒目 的 地 方 , 便 于 客户 查找 。 

(9) 有 效 的 投诉 途径 : 为 客户 提供 投诉 、 建 议 邮箱 或 在 线 反馈 。 

(10) 安全 及 隐私 条 款 : 对 于 交互 式 网 站 , 注 明 安全 及 隐私 条 款 可 以 减少 客户 顾虑 , 避 
免 纠纷 。 

(11) 法 律 声明 : 对 于 网 站 法 律 条 款 的 声明 可 以 避免 企业 陷入 不 必要 的 纠纷 中 。 

(12) 网 站 备案 : 让 浏览 者 确认 网 站 的 合法 性 。 

(13) 相关 链接 : 对 于 集团 企业 及 相关 企业 的 链接 ,应 该 具有 相关 性 。 

(14) 帮助 中 心 : 对 于 流程 较 复杂 的 服务 ,必须 具备 帮助 中 心 进行 服务 介绍 。 

用 户 体验 性 测试 要 关注 的 东西 确实 太 多 ,所 以 只 有 更 关注 用 户 , 才 能 得 到 用 户 的 信任 ， 
才能 进一步 提高 用 户 对 产品 的 满意 度 。 


@.6 界面 测试 缺陷 案例 


下 面 的 缺陷 是 从 言 车 金 叶 软件 研究 中 心 2013 年 和 2014 年 全 国 大 学 生 寻 找 产品 缺陷 
(Find Bug) 技 能 大 赛 的 稿件 中 精心 选取 的 。 


4.6.1 重复 文字 和 链接 


缺陷 标题 : 言 若 金 叶 软件 研究 中 心 网 站 导航 页 有 重复 的 文字 与 链接 。 

测试 平台 与 浏览 器 : Windows XP 十 IE 8/Firefox。 

测试 步骤: 

(1) 打开 言 若 金 叶 软件 研究 中 心 官网 www. leaf520. com; 

(2) 单 击 导航 条 上 的 [网 站 导航 链接 ; 

(3) 在 网 站 导航 页 检查 每 一 项 元 素 。 

期 望 结 果 : 每 一 项 元 素 都 是 正确 的 。 

实际 结果 : 在 “核心 工作 -奉献 社会 实现 人 生 ” 部 分 出 现 两 个 重复 的 文字 介绍 与 链接 ,如 
图 4-1 所 示 。 


核心 工作 - 各 献 社会 实现 人 生 


<2_10.07 王 顺 先生 参加 全 国 第 五 届 测 试 技术 大 估 2009 年 6 月 王 烦 先生 在 北京 访问 的 感想 


2009.06.06 阿 枫 池 企 计算 机 系 学 术 访问 
智力 信和 苗 

言 若 金 叶 软 件 研究 中 心 全 球 智 力 支持 译 着 金 叶 款 件 研究 中 心 全 于 合作 院 校 

2011 训 着 多 叶 软 件 研究 中 心 人 才 需 求 计划 言 着 金 叶 款 件 研究 中 心 会 员 制 度 

言 着 金 叶 软件 研究 中 心 与 训 校 合作 备 记录 - 


图 4-1 重复 的 文字 介绍 与 链接 


4.6.2 页 面 布 局 不 合理 


缺陷 标题 : 城市 空间 主页 一 联系 我 们 一 页 ,界面 布局 不 合理 。 
测试 平台 与 浏览 器 : Windows 8 十 Chrome 34/IE 10。 
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测试 步骤 : 
(1) 用 Chrome/IE 打开 城市 空间 主页 http://www. oricity. com/。 
(2) 单 击 【 联 系 我 们 】http://www. oricity. com/ user/contactus. php。 
期 望 结果 : 界面 布局 正常 合理 。 
实际 结果 : 界面 布局 不 合理 。Chrome 浏览 器 下 布局 不 合理 如 图 4-2 所 示 , IE 浏览 器 
下 布局 不 合理 如 图 4-3 所 示 。 


户外 雪 广 1 活动 皮 布 1 都市 日 历 | 都 市 相册 | 都 市 论坛 | 关于 我 们 | 回 到 主页 


[关闭 窗口 


关于 我 们 | 联系 我 们 | 注意 事项 | 站 务 活 是 | 网 站 导航 | 清理 垃圾 | 加 主页 


图 4-2 Chrome 浏览 器 下 的 布局 不 合理 


户外 轨 迹 1 活动 发 布 | 都 市 日 历 1 者 市 相册 1 都 市 论坛 | 关于 我 们 1 回 到 主页 


关于 我 们 | 联系 我 们 | 注意 事项 | 站 务 话 是 | 网 站 导航 | 青 理 垃圾 | 回 到 主页 


4-3 正 浏 览 器 下 的 布局 不 合理 


4.6.3 页 面 出 现 乱 码 
缺陷 标题 : 城市 空间 主页 页 面 出 现 乱码 。 
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测试 平台 与 浏览 器 : Windows 8 十 Chrome 34/IE 9。 

测试 步 又: 

(1) 用 IE 打开 城市 空间 主页 http://www. oricity. com/; 

(2) 单 击 【 登 录 ] 按 钮 ,输入 正确 的 用 户 名 和 密码 登录 系统 ; 

(3) 单 击 【X XX 的 城市 空间 】 ,进入 相应 页 面 。 

期 望 结果 : 页 面 内 容 正 常 显示 。 

实际 结果 : 页 面 有 乱码 显示 。IE 浏览 器 下 页 面 乱码 显示 如 图 4-4 所 示 。 


[NA @ hep mw oriciy.com/user/fiend php 


恒 观 好 友 -- 好 友 列表 x 司 击 


ht ity.comfaboutus;php 


图 4-4 IE 浏览 器 下 页 面 乱码 显示 
4.6.4 页 面 放 大 缩小 问题 


缺陷 标题 : 诺 质 软件 测试 团队 网 站 主页 的 字体 放大 缩小 按钮 未 影响 全 部 页 面 元 素 。 

测试 平台 与 浏览 器 : Windows 7 十 IE 10 或 Chrome。 

测试 步骤 : 

(1) 打开 言 车 金 叶 软件 研究 中 心 官网 http://qa. roqisoft. com/; 

(2) 单 击 字 体 【放大 3 或 [缩小 ] 按 钮 ; 

(3) 在 网 站 主页 内 检查 每 一 项 元 素 。 

期 望 结果 : 每 一 项 元 素 都 是 随 点 击 次 数 放大 或 缩小 的 。 

实际 结果 : 网 站 主页 内 部 分 内 容 未 随 单 击 【放大 】 按 钮 而 放大 .如 图 4-5 所 示 。 网 站 主 
页 内 部 分 内 容 未 随 单 击 【 缩 小 了 按钮 而 缩小 .如 图 4-6 所 示 。 图 4-7 为 正常 情况 下 显示 的 
页 面 。 


4.6.5 表格 单元 格 内 容 与 列 名 不 符 


缺陷 标题 : 诺 质 软件 测试 团队 的 学 员 名 单 表格 单元 格 内 容 与 相对 应 列 名 不 符 。 
测试 平台 与 浏览 器 : Windows 7(64 bit) 十 IE 9/ Firefox 24.0。 

测试 步骤: 

(1) 打开 诺 顾 软件 测试 团队 官网 http://qa. roqisoft. com/; 
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nnatinnl | 
言 若 金 叶 软 件 研究 言 若 金 叶 Golden | 
中 心 -全 国 软件 测试 。 Leaf 官方 标准 含义 


AD a 
工程 师 培 训 Golden=(Gjive 幸 献 (O)pen 项 达 . (L)ead 引领 (D) 
ream 梦想 , (E)njoy 畅 享 (N)etwork 网 络 
Leaf = (Leam 学 习 (Edraordinary 超越 . (A) 
chieve 成 就 (Fjun 快乐 
各 车 中 + 十 个 字母 ,五 大 主题 : 奉献 项 达 ， 引 领 梦 想 ， 者 享 网 
S 络 , 学 习 超越 ， 成 就 快乐 
训 官 网 奉献 著 达 : 奉献 社会 是 言 著 金 叶 软 件 研 究 中 心 所 做 
一 切 事务 的 起 点 ， 积 极 做 对 社会 有 贡献 的 事 ， 是 我 目 
言 心 们 户 负 的 责任 与 使 命中 心 组 织 统一 开放 ， 思 想 闭 
达 。 是 大 家 的 信任 与 支持 ， 专 业 与 执着 让 中 心 飞 的 
第 八 届 软 件 测试 工程 师 培训 更 高 ， 走 的 更 远 : 
3 "| 引领 本 起: 言 若 金 叶 软 件 研究 中 心 时 刻 体 现 一 群 年 
与 项 目 实 训 培训 时 间 : 径 人 , 沁 寻 区 要 的 力 旺 。 


短 襄 岂 信 。 之 半分 凡 掀 名 但 各 中 .AE 大工 从 开 开 


由 


图 4-5 单 击 8 次 字体 放大 后 效果 


四 腿 *cj|@azr-cne | 安 自 多 会 人 9 -9-9 三 


程 师 培训 


Golden=(G)ive 奉献 (0)pen 疮 达 ， 
(L)ead 引领 (D)ream 梦想 ， 

言 兰 多 时 软件 研究 由 心 全 国 第 儿 嘻 次 注 惠 区 T 程 后 训 。 。 (EE)njoy 畅 享 (N)etwork 网 络 
与 本 目 实 吉 二 后 : 2012 07 07-2012.08 18 Leaf = (Ueam 学 习 


总 车 全 叶 次 件 王 究 中 心 .全 国 软件 工程 师 培训 +* 亮 校 师资 
{tal 


(E)xtraordinary 超越 , (A)chieve 成 
就 (F)un 快乐 
与 这 证 培训 8Bd 间 : 2011 10.22~2011 1130 十 个 字母 ,五 大 主题 奉献 骼 达 , 


与 外 如 实践 培训 时 间 : 2011.07.02-2011.820 成 就 快乐 


替 献 宛 达 : 奉献 社会 是 言 若 金 叶 软 
寺 基 时 欣 仁 末 究 由 心 全 国 东 -- 呈 次 作 引 L 各 GOa 。。 件 研究 中 心 所 做 一 切 事务 的 起 点 ， 
训 与 这 证 培训 B4 间 : 2010.10~2010.12 积极 做 对 社会 有 贡献 的 事 ， 是 我 们 


更 多 测试 工程 师 培 训 信息 >>>>>> 肩负 的 责任 与 使 命 。 中 心 组 织 统一 
开放 ， 思 想 散 达 。 是 大 家 的 信任 与 


4-6 单 击 4 次 字体 缩小 后 效果 


(2) 单 击 左边 目录 [中心 站 点 链接 J 下 的 【网 站 地 图 链接 ; 

(3) 在 所 显示 的 内 容 中 找到 Main Menu>【 诺 顾 软件 开发 团队 站 点 】>Articles 怀 【学员 
名 单 】>【 名 单 】, 并 单 击 进入 ; 

(4) 观察 名 单 表格 内 容 。 

期 望 结果 : 名 单 表格 单元 格 内 容 与 相对 应 列 名 相符 。 

实际 结果 : 名 单 表格 单元 格 内 容 与 相对 应 列 名 不 符 且 存在 重复 信息 :如 图 4-8 所 示 。 


4.6.6 缩小 浏览 器 窗口 导航 条 消失 
缺陷 标题 NBA 英文 网 存在 缩小 浏览 器 窗口 页 面 导 航 条 消失 的 错误 。 


喜 基 全 叶 软 件 入 究 中 心 全 国 第 1 
与 项 目 详 如 培训 Bj 同 : 201203 17~20120428 


与 这 证 培训 B 提 : 2011.0323~20115.20 
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人 人 ® qaroqisoftcom 
加 Most visited 


言 若 金 叶 软件 研究 中 心 -全 
软件 测试 工程 师 培 训 

中 心 全 

师资 培训 

言 若 金 叶 软件 研究 中 心 全 国 第 作 届 软件 
测试 工程 师 培训 与 项 目 实 训 培训 时 
间 ，2012.07.07~2012.08.18 
言 着 金 叶 软 件 研究 中 心 全 国 第 七 届 软 件 
测试 工程 师 培训 与 项 目 实 训 培训 时 
间 ，2012.03.17~2012.04.28 


工程 师 


言 若 金 叶 Golden Leaf 官方 
标准 含义 

Golden=(G)ive 幸 献 (D)pen 疮 达 ， 
(L)ead 引领 (D)ream 梦想 , (E)njoy 畅 享 
(N)etwork 网 络 

Leaf = (L)eam 学 习 ”(E)xtraordinary 
超越 , (A)chieve 成 就 (F)un 快乐 

十 个 字母 ,五 大 主题 ， 幸 献 船 达 ， 引 领 梦 
想 ， 畅 享 网 络 ， 学 习 超越 ， 成 就 快乐 
奉献 船 达 ， 奉 献 社会 是 言 基金 叶 软 件 研 
究 中 心 所 做 一 切 事务 的 起 点 ， 积 极 做 对 


图 4-7 单 击 重 设 字体 后 效果 


名 单 单元 格 内 容 与 列 名 不 符 
User Rating: ©990090 /4 
Poor© © © © © Best »Rate 


姓名 
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20110040044 


20110040044 “| 李 右 


20110040005 


20110050008 


20110050013 


[ 


20110050014 


图 4-8 表格 单元 格 内 容 与 相对 应 列 名 不 符 


测试 平台 与 浏览 器 : Windows 7 十 Chrome/Firefox。 
测试 步骤 : 


(1) 打开 国外 网 站 http://www. nba. com/celtics/ ,界面 如 图 4-9 所 示 ; 


(2) 缩小 浏览 器 窗口 ,观察 页 面 元 素 变化 。 
期 望 结果 : 页 面 元 素 正常 显示 。 
实际 结果 : 页 面 的 导航 条 消失 ,如 图 4-10 所 示 。 


4.6.7 无 关 的 文本 描述 


缺陷 标题 : NBA 中 文 网 主页 下 链接 子 页 面 出 现 无 意义 的 文本 描述 。 


测试 平台 与 浏览 器 : Windows XP 十 Firefox/IE。 
测试 步骤 : 


打开 NBA 中 文 网 链接 子 页 面 http://china. nba. com/standings/。 


期 望 结果 : 页 面 所 有 内 容 正 确 ,与 页 面 内 容 相 关 。 
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图 4-10 页 面 的 导航 条 消失 


146 


SA 
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实际 结果 : 页 面 出 现 无 关 的 文本 描述 ,如 图 4-11 所 示 。 


130 国王 26 4 0.366 320 15-26 5-9 
140 湖人 19 51 0271 385 8-35 2-10 
150 森林 狼 16 5 0225 420 7-36 49 


要 名 额 东部 联盟 联盟 | 3 -锁定 季 后 赛 名 领 大 西洋 分 区 9 
后 于 各 阁 西部 联盟 联盟 | sw .锁定 季 后 赛 名 领 西南 分 


图 4-11 无 关 的 文本 描述 
.7 本 章 小 结 


对 于 Web 系统 来 说 ,用 户 界面 是 用 户 对 网 站 的 第 一 感觉 ,界面 的 好 坏 将 直接 影响 到 用 
户 是 否 愿意 继续 停留 在 网 站 上 ,或 者 是 否 愿 意 再 次 访问 网 站 。Web 界面 测试 要 求 测试 者 站 
在 用 户 的 角度 去 体会 Web 应 用 的 正确 性 、 直 观 性 一致 性 、 灵 活性 ,舒适 性 等 。Web 界面 测 
试 包括 导航 测试 .图 形 测试 ,内容 测试 .表格 测试 和 整体 界面 测试 。 除 此 以 外 ,还 应 该 包括 用 
户 体验 测试 ,一 般 可 采用 问卷 调查 的 方式 来 了 解 用 户 对 网 站 的 满意 度 。 


€.1 性 能 测试 基础 


5.1.1 性 能 测试 概念 


系统 的 性 能 是 一 个 很 大 的 概念 , 获 盖 面 非常 广泛 ,对 一 个 软件 系统 而 言 包括 执行 效率 、 
资源 占用 、 稳 定性、 安全 性 、 兼 容 性 、 可 扩展 性 、 可 靠 性 等 。 性 能 测试 在 软件 质量 保证 中 起 着 
重要 作用 。 

性 能 测试 一 般 利 用 测试 工具 ,模拟 大 量 用 户 操 作 ,对 系统 施加 负载 ,考察 系统 的 输出 项 ， 
例如 吞吐 量 、 响 应 时 间 、CPU 负载 .内存 使 用 等 ,通过 各 项 性 能 指标 分 析 系统 的 性 能 ,并 为 性 


5.1.2 性 能 测试 目的 


性 能 测试 是 为 了 保证 系统 具有 良好 的 性 能 ,考察 在 不 同 的 用 户 负载 下 ,系统 对 用 户 请 求 
做 出 的 响应 情况 ,以 确保 将 来 系统 运行 的 安全 性 ,可靠 性 和 执行 效率 。 

性 能 测试 的 目的 是 验证 软件 系统 是 否 能 够 达到 用 户 提 出 的 性 能 指标 ,同时 发 现 软件 系 
统 中 存在 的 性 能 瓶颈 ,给 出 适合 的 软 硬 件 配 置 方 案 , 进 行 软件 优化 ,最 终 达 到 优化 系统 的 目 
的 。 性 能 测试 目标 包括 以 下 几 个 方面 。 

(1) 评估 系统 的 能 力 : 测试 中 得 到 的 负荷 和 响应 时 间 数 据 可 以 用 于 验证 所 计划 的 模型 
的 能 力 , 并 帮助 做 出 决策 。 

(2) 识别 体系 中 的 弱点 : 受 控 的 负荷 可 以 被 增加 到 一 个 极端 的 水 平 ,并 突破 它 , 从 而 修 
复 系统 的 瓶颈 或 薄弱 的 地 方 。 

(3) 进行 系统 调 优 : 重复 运行 测试 ,验证 调整 系统 的 活动 得 到 了 预期 的 结果 ,从 而 改进 
性 能 。 

(4) 检测 软件 中 的 问题 : 长 时 间 的 测试 执行 可 导致 程序 发 生 由 于 内 存 泄露 引起 的 失 
败 ,揭示 程序 中 隐 含 的 问题 或 冲突 。 

(5) 验证 稳定 性 可 靠 性 : 在 一 个 生产 负荷 下 执行 测试 一 定 的 时 间 是 评估 系统 稳定 性 和 
可 靠 性 是 否 满足 要 求 的 唯一 方法 。 
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5.1.3 性 能 测试 类 型 


性 能 测试 从 广义 上 讲 分 为 压力 测试 .负载 测试 .强度 测试 .并 发 (用 户 ) 测 试 , 大 数据 量 测 
试 . 配 置 测试 .可 靠 性 测试 等 。 


1. 性 能 测试 (Performance Testing) 


性 能 测试 是 通过 模拟 生产 运行 的 业务 压力 量 和 使 用 场景 组 合 ,验证 系统 的 性 能 是 否 满 
足 生 产 性 能 要 求 , 即 在 特定 的 运行 条 件 下 验证 系统 的 能 力 状况 。 性 能 测试 强调 在 固定 的 软 
硬件 环境 和 确定 的 业务 场景 下 进行 测试 ,其 主要 意义 是 获得 系统 的 性 能 指标 。 


2. 负载 测试 (Load Testing) 


负载 测试 是 确定 在 各 种 工作 负载 下 系统 的 性 能 ,目标 是 测试 当 负载 逐渐 增加 时 ,系统 组 
成 部 分 的 相应 输出 项 ,例如 吞吐 量 、 响 应 时 间 、CPU 负载 .内存 使 用 等 的 情况 ,以 此 来 分 析 系 
统 的 性 能 。 通 俗 地 说 ,这 种 测试 方法 就 是 模拟 真实 环境 下 的 用 户 活动 ,在 特定 的 运行 条 件 下 
验证 系统 的 能 力 状况 。 

负载 测试 通常 描述 一 种 特定 类 型 的 压力 测试 , 即 增加 用 户 数量 以 对 应 用 程序 进行 压力 
测试 。 负 载 测试 的 特点 如 下 。 

(1) 通过 检测 ` 加 压 、 阔 值 等 手段 确认 各 类 指标 (如 ”响应 时 间 不 超过 5s”“ 服 务 器 平均 
CPU 利用 率 低 于 80%" 等 ) ,来 找 出 系统 处 理 能 力 的 极限 。 

(2) 负载 测试 必须 在 给 定 的 测试 环境 下 进行 ,通常 需要 考虑 被 测 系统 的 业务 数据 量 和 
典型 场景 等 情况 。 

(3) 负载 测试 一 般 用 来 了 解 系统 的 性 能 容量 ,配合 性 能 调 优 的 时 候 使 用 。 

负载 测试 是 经 常 使 用 的 性 能 测试 ,其 主要 意义 是 从 多 个 不 同 的 测试 角度 去 探测 分 析 系 
统 的 性 能 变化 情况 ,发 现 系统 瓶颈 并 配合 性 能 调 优 。 测 试 角度 可 以 是 并 发 用 户 数 、 业 务 量 、 
数据 量 等 不 同方 面 的 负载 。 


3. 压力 测试 (Stress Testing) 


压力 测试 可 以 理解 为 资源 的 极限 测试 。 测 试 时 关注 在 资源 (如 CPU、 内 存 ) 处 于 饱和 或 
超 负 荷 的 情况 下 ,系统 能 否 正常 运行 。 压 力 测试 是 一 种 在 极端 压力 下 的 稳定 性 测试 。 负 载 
测试 时 不 断 加 压 到 一 定 阶段 即 是 压力 测试 ,两 者 没有 明确 的 界限 。 

压力 测试 的 目的 是 调查 系统 在 其 资源 超 负荷 的 情况 下 的 表现 ,尤其 是 对 系统 的 处 理 时 
间 有 什么 影响 。 通 过 极限 测试 方法 ,发 现 系统 在 极限 或 恶劣 环境 中 的 自我 保护 能 力 (不 会 出 
现 错误 甚至 系统 崩溃 ) ,其 目的 主要 是 验证 系统 的 稳定 性 和 可 靠 性 。 通 过 压力 测试 ,获得 系 
统 能 提供 的 最 大 的 服务 级 别 , 确 定 系统 的 瓶颈 或 者 不 能 接收 用 户 请 求 的 性 能 点 。 

压力 测试 的 特点 如 下 。 

(1) 检查 系统 处 于 压力 情况 下 的 应 用 表现 ,如 增加 虚拟 用 户 数 量 .并 发 用 户 数量 等 使 应 
用 系统 资源 保持 一 定 的 水 平 , 这 种 方法 可 以 检测 此 时 系统 的 表现 ,如 有 无 错误 信息 产生 、 系 
统 响应 时 间 等 。 

(2) 压力 测试 时 的 模拟 必须 结合 业务 系统 和 软件 架构 来 定制 模板 指标 ,因为 即使 使 用 
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压力 测试 工具 来 模拟 指标 也 会 带 有 很 大 的 偏差 ,在 模拟 时 需要 考虑 到 数据 库 、 虚 拟 机 、 连 接 
池 等 方面 。 

(3) 压力 测试 可 以 测试 系统 的 稳定 性 。 压 力 测试 通常 设 定 到 CPU 使 用 率 达 到 75% 以 
上 、 内 存 使 用 率 达 到 70% 以 上 ,用 于 测试 系统 在 压力 环境 下 的 稳定 性 。 此 处 是 指 过 载 情况 
下 的 稳定 性 ,略微 不 同 于 7X24 长 时 间 运 行 的 稳定 性 。 

在 压力 测试 中 ,可 以 采取 两 种 不 同 的 压力 情况 : 用 户 量 压力 测试 和 数据 量 压力 测试 。 


4. 并 发 测试 (Concurrency Testing) 


并 发 测试 是 通过 模拟 用 户 的 并 发 访问 ,测试 多 用 户 环境 下 多 个 用 户 同 时 并 发 访问 同一 
个 应 用 、 同 一 个 模块 或 数据 记录 时 系统 是 否 存在 死 锁 或 者 其 他 性 能 问题 ,如 内 存 泄露 线程 
死 锁 .资源 争 用 问题 。 其 测试 目的 除了 获得 性 能 指标 外 ,更 重要 的 是 为 了 发 现 并 发 引起 的 
问题 。 

并 发 性 能 测试 的 目的 主要 有 以 下 三 个 方面 。 

(1) 以 真实 的 业务 为 依据 ,选择 有 代表 性 的 ,关键 的 业务 操作 设计 测试 案例 来 评价 系统 
的 并 发 处 理 能 力 。 测 试 时 ,使 客户 端 与 服务 器 建立 大 量 的 并 发 连接 ,通过 客户 端的 响应 时 间 
和 服务 器 端的 性 能 监测 情况 来 判断 系统 是 否 达到 了 既定 的 并 发 性 能 指标 。 

(2) 当 扩 展 应 用 程序 的 功能 或 新 的 应 用 程序 即将 被 部 署 时 ,负载 测试 会 帮助 确定 系统 
是 否 还 能 够 处 理 期 望 的 用 户 负载 ,以 预测 系统 的 未 来 性 能 。 

(3) 通过 模拟 成 百 上 千 的 用 户 , 重 复 执 行 测试 ,可 以 确认 性 能 瓶颈 并 对 系统 进行 优化 。 

并 发 测试 时 会 同时 关注 下 列 问题 。 

(1) 内 存 问 题 : 是 否 有 内 存 泄露 .是否 有 太 多 的 临时 对 象 ,是 否 有 太 多 不 合理 声明 超过 
设计 生命 周期 的 对 象 。 

(2) 数据 问题 : 是 否 有 数据 库 死 锁 现象 ,是 否 经 常 出 现 长 事务 。 

(3) 线程 /进程 问题 : 是 否 出 现 线程 /进程 同步 失败 。 

(4) 其 他 问题 : 是 否 出 现 资源 争 用 导致 的 死 锁 , 是 否 出 现 正确 处 理 异常 导致 的 死 锁 。 

用 户 并 发 测试 主要 分 为 独立 业务 性 能 测试 和 组 合 业务 性 能 测试 两 类 。 在 具体 的 性 能 测 
试 工作 中 ,并 发 用 户 都 借助 工具 来 模拟 ,如 使 用 LoadRunner 来 测试 。 


5. 配置 测试 (Configuration Testing) 


配置 测试 通过 对 被 测 系统 的 软 硬 件 环境 的 调整 ,了 解 各 种 不 同 环境 对 性 能 影响 的 程度 ， 
从 而 找到 系统 各 项 资源 的 最 优 分 配 原则 。 

配置 测试 主要 用 于 性 能 调 优 。 在 经 过 测试 获得 了 基准 测试 数据 后 ,进行 环境 调整 (包括 
硬件 配置 网络、 操作 系统 .应 用 服务 器 .数据库 等 ) ,再 将 测试 结果 与 基准 数据 进行 对 比 , 判 
断 调整 是 否 达到 最 佳 状态 。 例 如 ,可 以 通过 不 停 地 调整 Oracle 的 内 存 参数 来 进行 测试 ,使 
之 达到 一 个 较 好 的 性 能 。 

配置 测试 具备 以 下 特点 。 

(1) 配置 测试 的 目的 是 了 解 各 个 不 同 的 因素 对 系统 性 能 影响 的 程度 ,从 而 判断 出 最 值 
得 进行 的 调 优 操作 。 

(2) 配置 测试 有 很 大 的 灵活 性 ,可 以 在 测试 环节 的 各 个 时 间 进 行 。 但 是 何 时 开始 、. 何 时 
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暂停 、 何 时 结束 是 运用 这 个 方法 的 关键 。 
6. 可 靠 性 测试 (Reliability Testing) 


通过 给 系统 加 载 一 定 业务 压力 的 情况 下 ,同时 让 应 用 持续 运行 一 段 时 间 ,测试 系统 在 这 
种 条 件 下 是 否 能 够 稳定 运行 。 可 靠 性 测试 强调 在 一 定 的 业务 压力 下 ,长 时 间 运 行 系统 ,检测 
系统 的 运行 情况 是 否 有 不 稳定 的 症状 或 征兆 ,如 资源 使 用 率 是 否 逐 渐 增 加 、 响 应 时 间 是 否 越 
来 越 慢 等 。 可 靠 性 测试 和 压力 测试 的 区 别 在 于 : 可 靠 性 测试 关注 的 是 持续 时 间 , 压 力 测试 
关注 的 是 过 载 压力 。 


7. 大 数据 量 测试 


大 数据 量 测试 主要 测试 运行 数据 量 较 大 或 历史 数据 量 较 大 时 的 性 能 情况 。 大 数据 量 测 
试 有 两 种 类 型 : 独立 的 数据 量 测试 和 综合 数据 量 测试 。 

独立 的 数据 量 测试 : 针对 某 些 系 统 存储 、 传 输 、 统 计 、 查 询 等 业务 进行 大 数据 量 测试 。 

综合 数据 量 测 试 : 和 压力 性 能 测试 .负载 性 能 测试 ,疲劳 性 能 测试 相 结合 的 综合 测试 
方案 。 

大 数据 量 测试 的 关键 是 测试 数据 的 准备 。 一 方面 ,我 们 要 求 测试 数据 要 尽 可 能 与 生产 
环境 数据 一 致 , 尽 可 能 是 有 意义 的 数据 ,可 以 通过 分 析 使 用 现 有 系统 的 数据 或 根据 业务 特点 
构造 数据 。 男 一 方面 ,我 们 要 求 测试 数据 输入 要 满足 输入 限制 规则 , 尽 可 能 获 盖 到 满足 规则 
的 不 同类 型 的 数据 。 测 试 时 可 以 依靠 工具 准备 测试 数据 。 


8. 容量 测试 (Capacity Testing) 


容量 测试 的 目的 是 通过 测试 预先 分 析出 反映 软件 系统 应 用 特征 的 某 项 指标 的 极限 值 
(如 最 大 并 发 用 户 数 、 数 据 库 记 录 数 等 ) ,确保 系统 在 其 极限 状态 下 没有 出 现任 何 软件 故障 或 
还 能 保持 主要 功能 正常 运行 。 容 量 测 试 还 将 确定 测试 对 象 在 给 定时 间 内 能 够 持续 处 理 的 最 
大 负载 或 工作 量 。 

容量 测试 能 让 软件 开发 商 或 用 户 了 解 该 软件 系统 的 承载 能 力 或 提供 服务 的 能 力 ,如 某 
个 电子 商务 网 站 所 能 承受 的 、 同 时 进行 交易 或 结算 的 在 线 用 户 数 。 有 了 对 软件 负载 的 准确 
预测 ,不仅 能 对 软件 系统 在 实际 使 用 中 的 性 能 状况 充满 信心 ,同时 也 可 以 帮助 用 户 经 济 地 规 
划 应 用 系统 ,优化 系统 的 部 署 。 


9. 失效 恢复 测试 (Failover Testing) 
针对 有 宛 余 备 份 和 负载 均衡 的 系统 ,检验 系统 局 部 出 现 故障 时 用 户 所 受到 的 影响 。 
10. 连接 速度 测试 (Connection Speed) 


连接 速度 测试 主要 是 为 了 测试 系统 的 响应 时 间 是 否 过 长 。 用 户 连接 到 Web 应 用 系统 
的 速度 会 受到 上 网 方式 (电话 拨号 、 宽 带 上 网 等 ) 的 影响 。 如 果 系 统 响 应 时 间 过 长 ,用 户 很 可 
能 会 没有 耐心 等 待 而 离开 页 面 ,也 会 使 一 些 具 有 链接 时 限 的 页 面 因 为 超时 而 导致 数据 的 丢 
失 ,影响 用 户 的 正常 工作 和 生活 。 因 此 连接 速度 测试 很 有 必要 ,测试 结果 可 以 为 Web 系统 
的 正常 服务 提供 可 靠 的 保障 。 
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以 上 所 有 测试 在 实际 进行 中 不 一 定 是 单独 进行 的 ,大 部 分 情况 下 是 揉 合 到 一 起 进行 的 。 
彼此 之 间 内 部 有 着 密切 的 联系 。 


5.1.4 性 能 测试 内 容 


中 国 软件 评测 中 心 将 性 能 测试 概括 为 三 个 方面 : 应 用 在 客户 端 性 能 的 测试 .应 用 在 网 
络 上 性 能 的 测试 和 应 用 在 服务 器 端 性 能 的 测试 。 


1. 应 用 在 客户 端 性 能 的 测试 


应 用 在 客户 端 性 能 的 测试 的 目的 是 考察 客户 端 应 用 的 性 能 ,测试 的 人 口 是 客 户 端 。 它 
主要 包括 并 发 性 能 测试 ,疲劳 强度 测试 、 大 数据 量 测试 和 连接 速度 测试 等 ,其 中 并 发 性 能 测 
试 是 重点 。 


2. 应 用 在 网 络 上 性 能 的 测试 


应 用 在 网 络 上 性 能 的 测试 重点 是 利用 成 熟 先 进 的 自动 化 技术 进行 网 络 应 用 性 能 监视 、 
网 络 应 用 性 能 分 析 和 网 络 预测 。 

网 络 应 用 性 能 分 析 的 目的 是 准确 展示 网 络 带宽 、 延 迟 .负载 和 TCP 端口 的 变化 是 如 何 
影响 用 户 的 响应 时 间 的 。 利 用 网 络 应 用 性 能 分 析 工 具 ,能够 发 现 应 用 的 瓶颈 ,了 解 应 用 在 网 
络 上 运行 时 在 每 个 阶段 发 生 的 应 用 行为 ,在 应 用 线程 级 分 析 应 用 的 问题 。 

通过 网 络 应 用 性 能 分 析 可 以 解决 下 列 问题 。 

(1) 客户 端 是 否 对 数据 库 服 务 器 运行 了 不 必要 的 请 求 ; 

(2) 当 服 务 器 从 客户 端 接受 了 一 个 查询 ,应 用 服务 器 是 否 花费 了 不 可 接受 的 时 间 联 系 
数据 库 服 务 器 ; 

(3) 在 系统 试 运行 之 后 ,网 络 上 发 生 什么 事情 ; 

(4) 什么 应 用 在 运行 ,如 何 运 行 ; 

(5) 多 少 PC 正在 访问 LAN 或 VLAN; 

(6) 哪些 应 用 程序 导致 系统 或 资源 竞争 。 

利用 网 络 应 用 性 能 监控 工具 ,可 以 达到 事半功倍 的 效果 ,因为 它 可 以 分 析 关 键 应 用 程序 
的 性 能 ,定位 问题 的 根源 是 在 客户 端 、 服 务 器 、 应 用 程序 还 是 网 络 。 


3. 应 用 在 服务 器 上 性 能 的 测试 


应 用 在 服务 器 上 性 能 的 测试 是 重 中 之 重 . 它 实现 了 服务 器 设备 、 服 务 器 操作 系统 、 数 据 
库 系统 、 应 用 在 服务 器 上 性 能 的 全 面 监视 。 如 何在 已 有 Web 服务 器 基础 上 测试 服务 器 的 性 
能 ,并 从 硬件 、 服 务 器 软件 和 应 用 负载 三 个 层面 上 优化 和 提高 性 能 也 是 当前 的 研究 热点 之 
一 。 其 关键 问题 包括 选择 负载 ; 如 何在 最 短 时 间 内 测 得 当前 系统 的 性 能 ; 如 何 找 出 应 用 性 
能 的 瓶颈 并 解决 瓶颈 问题 ; 以 及 如 何 配 置 硬件 服务 器 才能 达到 最 优 性 价 比 。 通 常情 况 下 ， 
三 方面 有 效 合理 的 结合 , 才 可 以 达到 对 系统 性 能 全 面 的 分 析 。 

对 于 应 用 在 服务 器 上 的 性 能 测试 ,可 以 采用 工具 监控 ,也 可 以 使 用 系统 本 身 的 监控 命 
令 ,实施 测 试 的 目的 是 实现 服务 器 设备 ,服务器 操作 系统 ,数据库 系统 、 应 用 在 服务 器 上 性 能 
的 全 面 监 控 。 
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5.1.5 性 能 测试 用 例 模型 


为 了 对 系统 进行 全 面 检查 ,获取 各 项 性 能 指标 ,将 性 能 测试 用 例 模型 分 为 下 列 7 种 
模型 。 


1. 预期 指标 性 能 测试 


预期 性 能 指标 是 指 一 些 十 分 明确 的 ,在 系统 需求 设计 阶段 预先 提出 的 ,期 望 系统 达到 
的 ,或 者 向 用 户 保证 的 性 能 指标 。 预 期 指标 分 为 两 种 情况 。 

(1) 项 目 在 开发 前 由 甲 方 人 员 ( 用 户 方 ) 提 出 对 该 项 目 预 期 要 求 达到 的 性 能 指标 参数 。 
这 种 情况 下 开发 方 在 这 些 性 能 参数 的 指导 下 ,工作 的 开展 就 基本 围绕 如 何 实 现 这 些 指标 
进行 。 

(2) 开发 方 在 开发 一 个 项 目的 同时 ,要 求 自己 要 达到 一 个 什么 水 平 。 这 些 指 标 是 性 能 
测试 的 首要 任务 。 针 对 每 个 指标 都 编写 一 个 或 多 个 测试 用 例 来 验证 系统 是 否 达 到 要 求 ,如 
果 测 试 没 达到 要 求 ,就 要 查找 原因 来 改善 系统 。 

预期 指标 的 用 例 设 计 主 要 参考 需求 和 设计 文档 ,把 需求 文档 中 重要 的 性 能 要 求 提 取出 
来 测试 。 


2. 独立 业务 性 能 测试 


独立 业务 实际 是 指 一 些 核心 业务 模块 对 应 的 业务 ,这 些 模 块 通常 具有 功能 比较 复杂 、 使 
用 比较 频繁 .属于 核心 业务 、 结 构 复 杂 等 特点 。 这 些 业 务 模块 始终 是 性 能 测试 的 重点 。 
此 ,不 但 要 测试 这 类 模块 和 性 能 相关 的 一 些 算法 ,还 要 测试 这 类 模块 对 并 发 用 户 的 响应 
情况 。 

3. 组 合 业务 性 能 测试 


通常 ,一 个 系统 不 止 一 个 核心 业务 模块 ,而 且 所 有 的 用 户 不 会 只 使 用 一 个 或 者 几 个 核心 
业务 模块 ,系统 的 每 个 功能 模块 都 可 能 被 使 用 到 。 所 以 Web 性 能 测试 既 要 模拟 多 用 户 的 
“相同 ?操作 ,又 要 模拟 多 用 户 的 不同? 操作 ,对 多 项 业务 进行 综合 性 能 测试 。 组 合 业务 测试 
是 最 接近 用 户 实际 使 用 情况 的 测试 ,也 是 性 能 测试 的 核心 内 容 。 通 常 按照 用 户 的 实际 使 用 
人 数 比例 来 模拟 各 个 模块 的 组 合 情 况 。 

独立 业务 性 能 测试 和 综合 业务 性 能 测试 二 者 合 到 一 起 组 成 并 发 用 户 性 能 测试 用 例 。 独 
立业 务 性 能 测试 实际 上 就 是 核心 业务 模块 的 某 一 业务 的 并 发 性 能 测试 , 按 传统 的 测试 方法 ， 
可 以 将 其 理解 为 “单元 性 能 测试 ,而 综合 业务 性 能 测试 可 以 理解 为 “集成 性 能 测试 "。 并 发 
用 户 性 能 测试 用 例 要 求 选择 具有 代表 性 的 、 关 键 的 业务 来 设计 ,以 便 更 有 效 地 评测 系统 
性 能 。 

进行 用 户 并 发 性 能 测试 可 按 下 列 方式 进行 。 

(1) 独立 核心 模块 并 发 性 能 测试 

Q@ 同一 个 模块 完全 一 样 的 功能 并 发 ,各 个 用 户 对 系统 产生 完全 一 样 的 影响 。 

@ 同一 个 模块 完全 一 样 的 操作 并 发 ,各 个 用 户 对 系统 产生 的 影响 可 能 不 同 。 

@@ 同一 个 模块 相同 /不 同 的 功能 或 操作 并 发 ,各 个 用 户 对 系统 的 影响 不 同 。 


第 5 章 “Web 性 能 测试 


(2) 综合 模块 并 发 性 能 测试 

中 不 同 核心 业务 模块 的 用 户 进行 并 发 ,模块 之 间 存 在 一 定 的 耦合 。 

@ 具有 耦合 关系 的 各 个 “核心 业务 模块 组 ”进行 并 发 ,每 组 模块 内 部 存在 一 定 的 耦合 

@@ 基于 用 户 场景 的 并 发 .选择 与 场景 相关 的 模块 ,每 个 模块 模拟 一 定数 量 的 用 户 进行 
并 发 。 

4. 疲劳 强度 性 能 测试 


疲劳 强度 测试 是 指 在 系统 稳定 运行 的 情况 下 ,以 一 定 的 负载 压力 来 长 时 间 运 行 系统 的 
测试 ,其 主要 目的 是 确定 系统 长 时 间 处 理 较 大 业务 量 时 的 性 能 。 通 过 疲劳 强度 测试 基本 可 
以 判断 系统 运行 一 段 时 间 后 是 否 稳 定 , 它 是 并 发 用 户 测试 的 延续 。 


5. 大 数据 量 性 能 测试 


大 数据 量 测试 通常 是 针对 某 些 系 统 存储 、 传 输 、 统 计 查 询 等 业务 进行 大 数据 量 的 测试 ， 
主要 测试 运行 数据 量 较 大 或 历史 数据 量 较 大 时 的 性 能 情况 ,这 类 测试 一 般 都 是 针对 某 些 特 
殊 的 核心 业务 或 一 些 日 常 比较 常用 的 综合 业务 的 测试 。 由 于 大 数据 量 测 试 一 般 在 投产 环境 
下 进行 ,所 以 把 它 独立 出 来 和 疲劳 强度 测试 放 在 一 起 进行 ,一 般 在 测试 后 期 进行 。 

大 数据 量 测试 分 为 实时 大 数据 量 测试 和 极限 状态 下 的 测试 。 

实时 大 数据 量 测试 模 拟 用 户 工作 时 的 实时 大 数据 量 , 主 要 目的 是 测试 用 户 较 多 或 某 些 
业务 产生 较 大 数据 量 时 系统 是 否 稳定 。 

极限 状态 下 的 测试 是 指 被 测 系统 在 使 用 一 段 时 间 后 ,系统 数据 量 达到 一 定 程度 时 ,通过 
性 能 测试 来 评估 系统 的 响应 情况 ,查看 系统 是 否 正 常 。 极 限 状态 下 的 测试 对 象 也 是 某 些 核 
心 业 务 或 者 常用 的 组 合 业务 。 


6. 网 络 性 能 测试 


网 络 性 能 测试 是 为 了 准确 展示 带宽 、 延 迟 .负载 和 端口 的 变化 是 如 何 影响 用 户 响应 时 间 
的 。 在 实际 的 软件 项 目 中 ,主要 是 测试 应 用 系统 的 用 户 数目 与 网 络 带宽 的 关系 。 网 络 性 能 
测试 一 般 有 专门 的 工具 。 在 目前 的 一 些 自动 化 性 能 测试 工具 中 (LoadRunner) 主要 是 测试 
应 用 系统 的 用 户 数目 与 网 络 带宽 的 关系 。 

网 络 性 能 测试 的 用 例 设计 主要 分 两 类 : 基于 硬件 的 测试 和 基于 应 用 系统 的 测试 。 基 于 
硬件 的 测试 是 专业 人 员 通 过 各 种 专业 软件 工具 、 仪 器 等 来 测试 整个 系统 的 网 络 运行 环境 。 
基于 应 用 系统 的 测试 就 是 上 面 提 到 的 测试 用 户 数目 与 带宽 的 关系 。 


7. 服务 器 性 能 测试 


服务 器 性 能 测试 主要 是 对 数据 库 、Web 服务 器 、 操 作 系统 等 的 测试 ,测试 数据 库 响应 时 
间 、CPU 占用 率 是 否 得 当 、 内 存 是 否 有 泄露 等 ,从 而 确认 系统 瓶颈 ,为 系统 升级 等 提供 相应 
依据 。 

服务 器 性 能 测试 分 为 初级 和 高 级 两 种 形式 。 

(1) 初级 服务 器 性 能 测试 : 主要 是 指 在 业务 系统 工作 或 者 进行 前 面 其 他 种 类 性 能 测试 
时 ,通过 测试 工具 对 数据 库 、.Web 服务 器 ,操作 系统 的 使 用 情况 进行 监控 ,然后 对 性 能 测试 
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数据 进行 综合 分 析 , 找 出 系统 瓶颈 ,为 调 优 或 者 提高 性 能 提供 依据 。 
(2) 高 级 服务 器 性 能 测试 : 一 般 不 由 测试 人 员 进行 ,而 是 由 数据 库 `Web 服务 器 ,操作 
系统 相应 领域 的 专家 来 进行 。 例 如 数据 库 服务 器 由 专门 的 数据 库 管理 者 (DBA) 来 进行 测 


8. 特殊 测试 
特殊 测试 主要 是 指 配置 测试 .内 存 泄露 测试 等 一 些 特殊 的 Web 性 能 测试 。 


62 性 能 测试 流程 


Web 应 用 程序 性 能 测试 的 过 程 是 分 析 Web 应 用 的 真实 应 用 场景 ,制定 详细 的 测试 计 
划 , 构 建 一 个 尽 可 能 真实 的 运行 环境 ,模拟 多 个 用 户 并 发 对 Web 应 用 进行 访问 并 生成 测试 
结果 ,分 析 Web 应 用 的 性 能 并 提交 测试 报告 ,最 后 根据 


性 能 测试 目标 
于 二 性 能 漠 汪 昌 村】 测试 报告 分 析 系统 瓶颈 ,修改 被 测 Web 应 用 ,重新 进行 
mr] 测试 。 因 此 ,Web 应 用 性 能 测试 是 一 个 重复 循环 的 
过 程 。 
CT 性 能 测试 的 一 般 流程 为 明确 性 能 需求 、 制 定性 能 测 
试 计划 .性 能 测试 设计 .性 能 测试 执行 .性 能 测试 结果 分 
天- 人 ET |] 析 . 性 能 问题 定位 和 调 优 。 性 能 测试 的 一 般 流程 如 图 5-1 
1 所 示 。 
| 执行 性 能 测试 
题 ， 性 能 调 优 1 5.2.1 确定 性 能 测试 目标 
下 分 析 测 试 结 果 
在 测试 之 前 ,需要 确定 响应 时 间 . 香 吐 基 ,资源 利用 
的 总 目标 以 及 限制 。 响 应 时 间 是 用 户 美 心 的 焦点 ,吞吐 


量 是 业务 关心 的 焦点 ,资源 利用 则 是 系统 关心 的 焦点 。 

a 此 外 ,确定 项 目 成 功 标准 。 这 个 标准 可 能 并 不 包含 在 上 
面 所 确定 的 总 目标 和 限制 之 中 。 

图 5-1 性 能 测试 的 一 般 流 程 在 开发 周期 的 初期 就 开始 确定 ,或 者 至 少 是 估算 出 

应 用 软件 所 需 达 到 的 性 能 特征 ,是 非常 有 意义 的 。 在 稍 

后 的 时 间 内 ,应 当 对 这 些 性 能 关注 点 加 以 量化 。 

用 户 和 相关 利益 方 通常 会 关注 以 下 三 类 性 能 特征 : 响应 时 间 、 吞 吐 量 和 资源 利用 。 确 
定性 能 标准 时 ,需要 考虑 下 列 关 键 因素 。 

(1) 商业 需求 ; 

(2) 用 户 期 望 ; 

(3) 合同 义务 ; 

(4) 服务 品质 协议 ; 

(5) 资源 利用 目标 ; 

(6) 各 种 真实 的 工作 负载 模型 ; 
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(7) 预期 负载 条 件 的 整个 范围 ; 

(8) 系统 压力 条 件 ; 

(9) 整个 场景 和 组 件 的 活动 ; 

(10) 关键 性 能 度量 ; 

(11) 应 用 软件 的 前 一 版 本 ; 

(12) 竞争 对 手 的 应 用 软件 ; 

(13) 优化 目的 ; 

(14) 安全 因素 .增长 空间 以 及 可 伸缩 性 ; 

(15) 进度 表 、 人 员 配 备 .预算 资源 以 及 其 他 重点 注意 事项 。 


5.2.2 测试 计划 


计划 和 设计 性 能 测试 包括 确定 关键 使 用 场景 ,恰当 地 确定 各 种 不 同 用 户 、 确 定 和 生成 测 
试 数据 ,并 且 指 定 需要 采集 的 性 能 数据 。 将 这 些 信息 整合 到 一 个 或 者 多 个 系统 使 用 情况 模 
型 中 ,以 进行 实现 ,执行 和 分 析 。 

如 果 计 划 和 设计 测试 的 目的 是 确定 产品 在 生产 环境 下 的 性 能 ,那么 ,目标 应 当 是 创建 真 
实 的 模拟 环境 ,以 提供 真实 可 靠 的 数据 ,便于 公司 做 出 有 价值 的 商业 决策 。 模 拟 真 实 环境 的 
测试 设计 ,显然 可 以 显著 增加 结果 数据 的 真实 性 和 可 用 性 。 

在 确定 应 用 软件 所 需 的 性 能 特征 期 间 ,一般 就 可 以 确定 应 用 软件 的 关键 使 用 场景 。 如 
果 确 定 应 用 软件 将 要 达到 的 性 能 特征 不 是 测试 的 目的 所 在 , 则 需要 明确 确定 对 脚本 最 有 用 
的 使 用 场景 。 确 定 关键 使 用 场景 时 ,需要 考虑 下 列 因素 。 

(1) 合同 规定 的 使 用 场景 ; 

(2) 性 能 测试 目标 隐 含 的 或 者 要 求 的 使 用 场景 ; 

(3) 最 常见 的 使 用 场景 ; 

(4) 核心 业务 使 用 场景 ; 

(5) 性 能 敏感 的 使 用 场景 ; 

(6) 技术 上 关注 的 使 用 场景 ; 

(7) 相关 利益 方 关注 的 使 用 场景 ; 

(8) 高 可 见 度 的 使 用 场景 。 

正确 确定 了 性 能 度量 ,然后 正确 采集 ,最 后 准确 分 析 报 告 ,那么 这 些 度 量 就 可 以 提供 应 
用 软件 的 实际 性 能 特征 与 预期 性 能 特征 之 间 的 比较 信息 。 此 外 ,这 些 度 量 还 可 以 帮助 确定 
应 用 软件 的 问题 所 在 以 及 瓶颈 之 处 。 

在 测试 设计 期 间 ,确定 与 性 能 验收 标准 相关 的 度量 是 非常 有 用 的 。 因 为 这 样 做 ,就 可 以 
在 完成 测试 设计 时 ,将 采集 这 些 度量 数据 的 方法 集成 在 测试 中 。 在 确定 度量 的 时 候 , 可 以 采 
用 特定 的 特征 ,或 直接 或 间接 与 这 些 特征 相关 的 指标 。 


5.2.3 建立 测试 环境 


在 进行 性 能 测试 前 ,需要 完成 性 能 测试 环境 的 搭建 工作 。 测 试 环境 将 直接 影响 测试 效 
果 , 所 有 的 测试 结果 都 是 在 一 定 软 硬 件 环 境 约束 下 的 结果 ,测试 环境 不 同 ,测试 结果 可 能 会 
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有 所 不 同 。 
1. 确定 测试 环境 


确定 物理 测试 环境 .生产 环境 以 及 测试 团队 可 利用 的 工具 和 资源 。 物 理 环境 包括 硬件 、 
软件 以 及 网 络 配置 。 在 测试 开始 时 就 对 整个 测试 环境 有 一 个 全 面 的 了 解 ,可 以 使 得 测试 设 
计 和 计划 更 加 有 效 ,并 且 有 利于 在 项 目 初 期 就 确定 测试 中 的 复杂 问题 。 

用 于 执行 性 能 测试 活动 的 环境 ,以 及 执行 性 能 测试 所 需 的 工具 和 相关 的 硬件 设备 ,一 起 
构成 了 测试 环境 ,其 中 包括 硬件 环境 .软件 环境 及 网 络 环境 。 硬 件 环境 指 测试 必需 的 服务 
器 .客户 端 ,网 络 连接 设备 ,以 及 打印 机 扫描 仪 等 辅助 硬件 设备 所 构成 的 环境 。 软 件 环境 指 
被 测 软件 运行 时 的 操作 系统 、 数 据 库 及 其 他 应 用 软件 构成 的 环境 。 

在 理想 情况 下 ,如 果 性 能 测试 的 目标 是 确定 应 用 软件 在 生产 环境 下 的 性 能 特征 ,那么 ， 
测试 环境 就 应 当 是 生产 环境 的 一 个 精确 复制 ,只 是 需要 增加 一 些 额外 的 负载 生成 工具 和 资 
源 监 测 工具 。 
确定 测试 环境 的 关键 因素 是 完全 了 解 测 试 环 境 和 实际 生产 环境 之 间 的 相似 性 和 差异 
在 确定 测试 环境 前 需要 考虑 下 列 因素 。 

(1) 硬件 

计算 机 硬件 (处 理 器 、 内 存 等 ) 的 配置 情况 。 
(2) 网 络 

O@ 网 络 结构 和 终端 用 户 位 置 ; 

@ 负载 均衡 ; 

@ 集群 和 域名 解析 系统 设置 。 

(3) 工具 

@ 负载 生成 工具 ; 

@ 性 能 监测 工具 。 

(4) 软件 

Oa 安装 或 者 运行 在 共享 或 虚拟 环境 下 的 其 他 软件 ; 
@ 软件 许可 证 限制 或 者 差异 ; 

@ 存储 容量 和 数据 量 ; 

@ 日 志 记录 水 平 。 

(5) 外 部 因素 

O@O 网 络 上 其 他 通信 类 型 和 数据 量 ; 

@ 批 处 理 的 进程 .更 新 或 者 备份 任务 ; 

@ 与 其 他 系统 的 交互 。 


2. 保证 测试 环境 与 用 户 使 用 环境 的 一 致 性 


保证 性 能 测试 与 真实 生产 环境 的 一 致 性 .可 以 从 以 下 三 个 方面 来 看 。 

(1) 硬件 环境 

服务 器 环境 客户 端 环 境 和 网 络 环境 与 生产 环境 的 一 致 性 。 如 服务 器 型 号 .应 用 服务 器 
和 数据 库 服务 器 是 否 共 享 同一 服务 器 .是 否 在 集群 环境 下 .是 否 进行 负载 均衡 、 客 户 端的 硬 


性 
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件 配置 情况 、 网 络 速度 等 。 

(2) 软件 环境 

@ 版 本 一 致 性 : 包括 操作 系统 数据库 的 版 本 、 被 测 应 用 软件 的 版 本 ,以 及 第 三 方 软件 
版 本 等 。 

@ 配置 一 致 性 : 软件 系统 (操作 系统 、 数 据 库 、 应 用 程序 ) 参 数 的 配置 ,如 数据 库 的 并 发 
读 写 数 .SGA/PGA 设置 ,Session 超时 配置 等 。 

(3) 使 用 场景 

O@O 基础 数据 的 一 致 性 : 包括 预测 的 业务 数据 量 , 业 务 数据 类 型 的 分 配 ,数据 库 表 索引 
的 建立 与 否 ,重要 的 实体 包含 的 明细 个 数 等 。 

@ 使 用 模式 的 一 致 性 : 尽量 模拟 真实 场景 下 用 户 的 使 用 情况 。 

要 做 到 测试 环境 与 用 户 使 用 环境 完全 一 致 是 不 可 能 的 ,只 能 尽量 模拟 用 户 使 用 环境 。 


3. 配置 测试 环境 


随 着 需要 测试 的 功能 和 组 件 的 完善 ,逐步 为 每 个 策略 准备 执行 所 需 的 测试 环境 .工具 以 
及 资源 。 确 保 测 试 环 境 已 经 配置 妥当 ,可 以 进行 资源 监控 。 

(1) 确定 需要 的 计算 机 数量 ,以 及 对 每 台 计 算 机 的 硬件 配置 要 求 , 包 括 CPU 的 速度 、 内 
存 和 硬盘 的 容量 、 网 卡 所 支持 的 速度 、 打 印 机 的 型 号 等 。 

(2) 部 署 被 测 应 用 的 服务 器 所 必需 的 操作 系统 数据库 管 理 系 统 、 中 间 件 ,Web 服务 器 
以 及 其 他 必需 组 件 的 名 称 ,版 本 ,以 及 所 要 用 到 的 相关 补丁 的 版 本 。 

(3) 部 署 用 来 执行 测试 工作 的 计算 机 所 必需 的 操作 系统 、 数 据 库 管 理 系统 、 中 间 件 、 
Web 服务 器 以 及 其 他 必需 组 件 的 名 称 、 版 本 ,以 及 所 要 用 到 的 相关 补丁 的 版 本 。 

(4) 测试 中 所 需要 使 用 的 网 络 环境 。 例 如 ,如 果 测 试 结果 同 接 入 Internet 的 线路 的 稳 
定性 有 关 , 那 么 应 该 考虑 为 测试 环境 租用 单独 的 线路 。 如 果 测 试 结果 与 局 域 网 内 的 网 络 速 
度 有 关 , 那 么 应 该 保证 计算 机 的 网 卡 、 网 线 以 及 用 到 的 集线器 ,交换 机 都 不 会 成 为 瓶颈 。 


5.2.4 设计 测试 
1. 设计 测试 


根据 测试 设计 逐步 开展 性 能 测试 。 进 行 测试 设计 时 ,需要 考虑 下 列 因 素 。 

(1) 确定 正确 建立 了 测试 所 需 的 数据 供给 。 

(2) 确定 在 数据 库 中 正确 实现 了 应 用 软件 的 数据 供给 ,并 且 正 确实 现 了 其 应 用 软件 
组 件 。 

(3) 确定 正确 实现 了 完整 的 事务 过 程 。 

(4) 确定 正确 处 理 隐 含 字段 或 者 其 他 特殊 数据 。 

(5) 有 效 实现 了 重要 性 能 度量 的 监测 。 

(6) 增加 适当 的 度量 以 提高 相关 的 商业 性 能 。 


2. 设计 场景 
(1) 选择 关键 的 应 用 场景 ; 
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(2) 确定 关键 场景 的 使 用 路 径 ; 

(3) 区 别 每 种 用 户 的 数据 和 不 同 点 ; 

(4) 确定 不 同 场景 的 相对 分 布 。 

在 LoadRunner 中 ,设计 测试 场景 时 ,除了 包含 业务 应 用 场景 外 ,还 包含 性 能 测试 的 宏 
观 信息 , 有 测试 环境 、 运 行规 则 和 监控 数据 等 。 具 体 可 表现 为 测试 脚本 、 虚 拟 用 户 数 ,虚拟 用 
户 加 载 和 退出 方式 .场景 持续 时 间 ,监控 指标 等 。 


3. 测试 用 例 设 计 


(1) 预期 性 能 测试 用 例 

通常 系统 在 设计 前 就 会 提出 一 些 性 能 指标 ,这 些 指标 是 性 能 测试 要 完成 的 首要 工作 , 针 
对 每 个 指标 都 要 撰写 多 个 测试 用 例 来 验证 系统 是 否 达到 要 求 。 预 期 性 能 指标 测试 用 例 设 计 
主要 参考 需求 分 析 和 设计 文档 ,把 里 面 十 分 明确 的 性 能 要 求 提 取出 来 。 预 期 性 能 测试 通常 
以 单 用 户 为 主 ,其 测试 用 例 模 板 见 表 5-1。 


表 5-1 预期 性 能 测试 用 例 模板 


测试 目的 
前 置 条 件 
测试 需求 测试 过 程 说 明 期 望 性 能 (平均 值 ) 实际 性 能 (平均 值 ) 
场景 1 
功能 1 场景 2 
场景 3 
功能 2 
备注 


例如 : 网 站 登录 功能 ,对 于 普通 的 客户 端 ,用 户 登 录 网 站 ,时 间 应 小 于 3 秒 。 

输入 动作 : 输入 用 户 名 、 密 码 和 验证 码 . 单 击 【登录 按钮 。 

期 望 的 性 能 : 登录 时 间 小 于 等 于 3 秒 。 

实际 性 能 : 登录 时 间 1.5 秒 。 

(2) 用 户 并 发 测试 用 例 

用 户 并 发 测试 主要 是 通过 增加 用 户 数 量 来 加 重 系 统 负 担 , 并 通过 测试 工具 对 应 用 系统 
各 种 服务 器 资源 进行 监控 ,获取 各 项 性 能 指标 。 用 户 并 发 测试 是 系统 性 能 测试 的 核心 部 分 ， 
涉及 压力 测试 .负载 测试 和 强度 测试 等 多 方面 的 内 容 。 设 计 测 试用 例 场景 时 ,可 以 分 为 独立 
业务 并 发 测试 和 组 合 业 务 并 发 测试 。 

@ 独立 业务 并 发 测试 

独立 业务 实际 是 指 一 些 核心 业务 模块 对 应 的 业务 ,这 些 模 块 通常 具有 功能 比较 复杂 、 使 
用 比较 频繁 .属于 核心 业务 等 特点 。 独 立业 务 并 发 是 模拟 一 定数 量 的 用 户 同时 使 用 某 一 核 
心 业务 模块 的 相同 或 者 不 同 的 功能 .并 且 持 续 一 段 时间 ,以 验证 核心 模块 在 大 量 用 户 使 用 同 
一 功能 时 是 否 正常 工作 。 独 立业 务 并 发 测试 用 例 模板 如 表 5-2 所 示 。 
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表 5-2 独立 业务 并 发 测试 用 例 模 板 


测试 目的 
前 提 条 件 
输入 期 望 性 能 实际 性 能 
轴 翅 需 如 (并 发 用 户 数 ) Si 《平均 值 ) (平均 值 
50 
功能 1 100 
200 
50 
功能 2 100 
200 
备注 


例如 : 邮件 系统 中 发 送 邮件 功能 的 并 发 测试 。 

功能 : 当 在 线 用户 达 到 高 峰 时 ,发 送 普通 邮件 正常 ,保证 2000 个 以 内 用 户 可 以 同时 访 
问 邮 件 系统 ,能 够 正常 发 送 邮件 。 

目的 : 测试 系统 2000 个 以 内 的 用 户 能 否 同时 正常 发 送 邮件 。 

方法 : 采用 LoadRunner 的 录制 工具 录制 一 个 邮件 发 送 过 程 ,其 中 发 送 的 邮件 为 普通 邮 
件 , 附 件 大 小 不 超过 2MB。 测 试 时 要 监视 数据 库 服务 器 和 Web 服务 器 的 性 能 ,以 及 邮件 发 
送 时 间 和 邮件 发 送 成 功率 。 具 体 性 能 指标 如 下 。 

并 发 用 户 数 与 事务 执行 情况 : 并 发 用 户 数 、 事 务 平均 响应 时 间 、 事 务 最 大 响应 时 间 、 平 
均 每 秒 处 理事 务 数 .事务 成 功率 、 每 秒 点 击 率 、. 平 均 流 量 等 。 

并 发 用 户 数 与 数据 库 主 机 : 并 发 用 户 数 、.CPU 利用 率 、 内 存 利 用 率 、 磁 盘 1/O 参数 、 数 
据 库 参数 等 。 

@ 组 合 业 务 并 发 测试 

组 合 业务 并 发 的 突出 特点 是 根据 用 户 使 用 系统 的 情况 分 成 不 同 的 用 户 组 进行 并 发 ,每 
组 用 户 执 行 不 同 的 业务 功能 ,每 组 用 户 的 比例 要 根据 实际 情况 来 分 配 。 组 合 业务 并 发 测试 
用 例 模板 见 表 5-3。 


表 5-3 组 合 业务 并 发 测试 用 例 模板 


测试 目的 
前 提 条 件 
输入 
测试 需求 (并 发 用 户 数 ) 用 户 通过 率 期 望 性 能 (平均 值 ) | 实际 性 能 (平均 值 ) 
功能 1: 50 
功能 1 功能 2: 100 
功能 3: 50 
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例如 : 邮件 系统 并 发 测试 。 

功能 : 当 在 线 用 户 达 到 高 峰 时 ,邮件 系统 工作 正常 ,保证 5000 个 以 内 用 户 可 以 同时 访 
问 邮 件 系统 、 正 常 收发 邮件 。 

目的 : 测试 系统 5000 个 以 内 的 用 户 能 同时 正常 收发 邮件 。 

方法 : 采用 LoadRunner 的 录制 工具 分 别 录制 登录 邮件 系统 、 浏 览 邮件 ,发送 邮 件 、 登 出 
邮件 系统 4 个 过 程 , 其 中 发 送 的 邮件 为 普通 邮件 ,附件 大 小 不 超过 2MB。 测 试 时 按 系 统 的 
实际 使 用 情况 分 配 这 4 种 脚本 的 用 户 数量 。 例 如 500 个 用 户 登 录 邮 件 系 统 ,3000 个 用 户 浏 
览 邮件 ,1000 个 用 户 发 送 邮 件 ,500 个 用 户 登 出 邮件 系统 。 测 试 时 要 监视 数据 库 服务 器 和 
Web 服务 器 的 性 能 ,以 及 邮件 发 送 时 间 和 邮件 发 送 成 功率 。 

(3) 大 数据 量 测试 用 例 

大 数据 量 测试 使 被 测试 系统 处 理 大量 的 数据 ,以 确定 是 否 达 到 了 将 使 软件 发 生 故 障 的 


极限 。 大 数据 量 测试 还 将 确定 测试 对 象 在 给 定时 间 内 能 够 持续 处 理 的 最 大 负载 或 工作 量 。 
大 数据 量 测试 用 例 模板 如 表 5-4 所 示 。 
表 5-4 大 数据 量 测试 用 例 模板 
测试 目的 
前 提 条 件 
输入 期 望 性 能 
测试 需求 《最 天 数据 量 ) 事务 成 功率 (平均 值 ) 实际 性 能 (平均 值 ) 
10000 第 1 条 记录 
功能 1 15000 第 2 条 记录 
20000 第 3 条 记录 
10000 第 1 条 记录 
功能 2 15000 第 2 条 记录 
20000 第 3 条 记录 
备注 


(4) 疲劳 强度 测试 用 例 

疲劳 强度 测试 是 长 时 间 对 目标 测试 系统 加 压 , 以 测试 系统 的 稳定 性 。 疲 劳 强度 测试 属 
于 用 户 并 发 测试 的 延续 ,其 核心 内 容 仍然 是 核心 模块 用 户 并 发 和 组 合 模块 用 户 并 发 。 在 编 
写 测试 用 例 时 需要 编写 不 同 参数 或 者 负载 条 件 下 的 多 个 测试 用 例 , 可 以 参考 用 户 并 发 性 能 
测试 用 例 的 设计 内 容 , 通 常 修改 相应 的 参数 就 可 实现 所 需要 的 测试 场景 。 疲 劳 强 度 测试 用 
例 模 板 如 表 5-5 所 示 。 

(5) 负载 测试 用 例 

负载 测试 是 使 测试 对 象 承担 不 同 的 负载 量 (工作 量 ) ,以 评测 和 评估 测试 对 象 在 不 同 负 
载 下 的 性 能 表现 ,以 及 持续 正常 运行 的 能 力 。 负 载 测 试 的 目标 是 确定 并 确保 系统 在 超出 最 
大 预期 工作 量 的 情况 下 仍 能 正常 运行 。 此 外 ,负载 测试 还 要 评估 性 能 特征 ,例如 响应 时 间 、 
事务 处 理 速率 和 其 他 与 时 间 相关 的 方面 。 
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表 5-5 疲劳 强度 测试 用 例 模板 


测试 目的 


测试 说 明 


前 提 条 件 连续 运行 8 小 时 ,设置 添加 10 用 户 并 发 


测试 需求 输入 (持续 时 间 ) 输出 /响应 是 否 正常 运行 


2 小 时 
5 小 时 
10 小 时 
24 小 时 


功能 1 


2 小 时 
5 小 时 
10 小 时 
24 小 时 


功能 2 


4. 编写 测试 脚本 
进行 性 能 测试 时 ,要 模拟 大 量 的 用 户 访问 被 测试 软件 系统 ,通常 情况 下 是 使 用 测试 脚 


。 测 试用 例 脚本 根据 测试 用 例 的 具体 内 容 , 利 用 测试 工具 录制 或 测试 人 员 编 写 。 


5.2.5 执行 测试 
执行 测试 时 ,要 保证 测试 正常 进行 ,并 收集 测试 数据 。 执 行 测试 时 ,监控 测试 过 程 和 测 


试 环境 ,确保 进行 有 效 的 测试 以 保障 结果 分 析 的 正确 性 。 


响 。 


执行 测试 前 ,需要 认真 检查 下 列 内 容 。 

(1) 证 实测 试 环境 和 预期 的 配置 与 设计 好 的 测试 相 一 致 

(2) 确保 正确 配置 了 测试 和 测试 环境 ,以 便 收集 度量 数据 。 

(3) 在 执行 正式 测试 前 ,可 以 进行 一 个 快速 的 冒 烟 测 试 。 

(4) 确保 测试 脚本 执行 的 结果 完全 呈现 了 预期 模拟 的 工作 负载 模型 。 

(5) 确保 测试 已 经 配置 妥当 ,可 以 收集 本 次 测试 所 需要 的 性 能 和 商业 度量 。 

需要 注意 的 是 : 如 果 是 完全 真实 的 应 用 运行 环境 ,要 尽 可 能 降低 测试 对 现 有 业务 的 影 
如 果 是 建立 近似 的 真实 环境 ,首先 要 达到 服务 器 ,数据 库 以 及 中 间 件 的 真实 情况 ,并 且 


要 具备 一 定 的 数据 量 。 实 施 负载 压力 测试 时 ,要 运行 系统 相关 业务 ,因此 需要 一 些 数据 支持 
才 可 运行 业务 ,这些 数据 就 是 初始 测试 数据 。 有 时 为 了 模拟 不 同 的 虚拟 用 户 的 真实 负载 , 需 
要 将 一 部 分 业务 数据 参数 化 ,这 些 数据 就 是 测试 用 例 数 据 。 


5.2.6 分 析 结 果 并 调 优 
分 析 测 试 结 果 在 整个 测试 过 程 中 是 最 重要 的 过 程 之 一 ,通过 分 析 可 以 发 现 应 用 程序 的 


各 种 性 能 缺陷 。 


整合 并 且 共享 结果 数据 ,不 仅 要 对 单个 数据 进行 分 析 , 还 要 从 一 个 功能 交叉 的 测试 团队 


的 角度 来 分 析 数 据 。 如 果 所 有 度量 都 在 可 接受 的 范围 内 ,没有 违反 任何 预 设 阔 值 , 并 且 收 集 
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到 了 所 有 需要 的 信息 ,就 完成 了 基于 特定 配置 的 特定 场景 下 的 测试 。 
在 分 析 性 能 测试 数据 时 ,需要 注意 下 列 事项 。 
(1) 分 析 收 集 的 数据 ,将 结果 与 可 接受 的 或 者 预期 的 度量 水 平 相 比 较 , 以 确定 被 测试 的 
软件 表现 出 的 性 能 趋势 是 否 与 性 能 目标 相 吻 合 。 
(2) 如 果 测 试 失败 ,应 当 进行 诊断 和 调整 。 
(3) 如 果 对 某 个 瓶颈 问题 做 了 适当 的 改进 ,需要 重复 进行 测试 ,以 验证 这 种 改进 是 否 
成 功 。 

(4) 测试 团队 应 当 根 据 性 能 测试 的 结果 ,在 更 深层 次 上 分 析 组 件 , 然 后 通过 恰当 的 测试 
设计 和 使 用 情况 分 析 , 将 这 些 信息 与 真实 使 用 环境 相关 联 。 

(5) 性 能 测试 结果 应 当 可 以 帮助 企业 决策 者 做 出 明智 的 软件 结构 和 商业 决策 。 

(6) 利用 当前 的 结果 来 确定 下 一 次 测试 的 优先 级 。 


5.2.7 ”撰写 测试 报告 
报告 可 以 分 为 下 列 两 类 。 


及 


1. 技术 报告 


(1) 测试 说 明 , 包 括 工作 负载 模型 和 测试 环境 。 

(2) 经 过 最 小 程度 预 处 理 的 、 易 于 理解 的 数据 。 

(3) 完整 的 数据 以 及 测试 条 件 。 

(4) 关于 观察 结果 、 关 注重 心 .问题 及 合作 需求 方面 的 简短 陈述 。 


2. 决策 报告 


(1) 与 结果 相关 的 标准 。 

(2) 直观 地 ,可视化 呈现 最 相关 的 数据 。 

(3) 相关 的 数据 报告 .完整 的 数据 集 和 测试 执行 条 件 。 

(4) 观察 结果 、 关 注重 心 和 建议 的 简要 总 结 。 

撰写 报告 时 ,以 一 种 快速 ,简单 并 且 直 观 的 方式 来 呈现 目标 受众 感 兴趣 的 信息 。 撰 写 报 
告 时 需 遵循 下 列 原则 : 真实 、 直 观 , 使 用 正确 的 统计 数据 ,正确 合并 数据 ,有 效 汇 总 数据 ,为 
特定 的 阅读 者 定制 报告 。 使 用 强大 且 实 用 的 语言 ,以 简洁 的 措辞 来 进行 总 结 。 给 相关 利益 
方 提供 数据 。 过 滤 任 何不 需要 的 数据 。 如 果 报 告 涉及 中 间 结 果 , 需 要 包括 未 来 几 个 测试 执 
行 周期 的 优先 级 .关注 重点 以 及 瓶颈 。 


63 性 能 测试 数据 


性 能 测试 是 一 种 信息 的 收集 和 分 析 过 程 , 其 目的 是 维护 系统 的 性 能 ,找到 有 效 的 改善 策 
略 。Web 性 能 测试 过 程 中 ,需要 收集 和 分 析 的 数据 包括 性 能 指标 、 性 能 计数 器 ,性 能 参 
数 等 。 
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5.3.1 性 能 指标 


性 能 测试 指标 是 评价 Web 应 用 性 能 高 低 的 尺度 和 依据 ,典型 的 性 能 度量 指标 有 响应 时 
间 、 系 统 知 吐 量 、 系 统 资源 利用 、 并 发 用 户 数目 等 。 


1. 响应 时 间 (Response Time) 


响应 时 间 指 的 是 客户 端 发 出 请 求 到 得 到 服务 器 响应 的 整个 过 程 的 时 间 。 对 于 用 户 来 
说 , 当 用 户 单 击 一 个 按钮 ,发 出 一 条 指令 或 在 Web 页 面 上 单 击 一 个 链接 时 ,从 用 户 单 击 开 始 
到 应 用 系统 把 本 次 操作 的 结果 以 用 户 能 察觉 的 方式 展示 出 来 ,这 个 过 程 所 消耗 的 时 间 就 是 
用 户 对 软件 性 能 的 直观 印象 。 

在 某 些 工具 中 ,请 求 响 应 时 间 通 常会 被 定义 为 TLLB, 即 Time to last byte, 意 思 是 从 发 
起 一 个 请 求 开始 ,到 客户 端 接收 到 最 后 一 个 字 节 的 响应 所 耗费 的 时 间 。 请 求 响应 时 间 过 程 
的 单位 一 般 为 秒 或 者 毫秒 。 

为 了 能 更 好 地 定位 性 能 瓶颈 ,响应 时 间 可 进一步 分 解 为 三 个 部 分 : 呈现 时 间 、 数 据 传输 
时 间 和 系统 处 理 时 间 ,如 图 5-2 所 示 。 


| Web 服 务 器 


| 


NI | 
ma “| 
ee 

应 用 呈现 [= 二 = 


N4 


图 5-2 响应 时 间 示 意图 


(1) 呈现 时 间 

用 户 所 感受 到 的 响应 时 间 分 为 呈现 时 间 和 系统 响应 时 间 。 对 一 个 Web 应 用 而 言 ,呈现 
时 间 就 是 浏览 器 接收 到 数据 后 把 数据 呈现 出 来 的 时 间 。 呈 现时 间 与 用 户 使 用 的 计算 机 及 浏 
览 器 有 关 。 例 如 ,我 们 发 现 同 一 台 计 算 机 访问 同一 个 网 站 ,通过 chrome 访问 ,页 面 的 呈现 
速度 会 比 IE 略 快 (这 是 各 种 评测 及 大 众 用 户 的 整体 感受 ) 。 

(2) 数据 传输 时 间 

数据 传输 时 间 就 是 数据 在 网 络 上 传输 所 需要 的 时 间 。 

网 络 传输 时 间 二 Nl 十 N2 十 N3 十 N4。 其 中 ,Nl 和 N4 代表 了 客户 访问 Internet 的 方 
式 。 为 了 减少 NI 和 N4, 一 般 的 解决 办 法 是 把 Web 服务 器 或 者 Web 应 用 内 容 尽 可 能 放 在 
靠近 客户 的 地 方 ,这 可 以 通过 就 近 设置 服务 器 或 在 一 些 主要 Internet 主机 提供 的 站 点 上 做 
镜像 站 点 来 实现 。N2 和 N3 的 长 短 主要 是 依赖 服务 器 交换 设备 的 性 能 ,如 果 后 端 数据 库 的 
通信 量 增加 ,可 以 考虑 升级 交换 设备 和 网 络 适 配器 来 改善 性 能 。 

(3) 系统 处 理 时 间 

系统 处 理 时 间 是 指 应 用 系统 从 请 求 发 出 开始 到 客户 端 接收 到 数据 所 消耗 的 时 间 。A1l， 
A2,A3 构成 了 应 用 延迟 时 间 。 如 果 Al 或 者 A3 比较 大 ,说 明 Web 服务 器 处 理 可 能 存在 问 
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题 ,但 要 想 降 低 却 比 较 困 难 ,因为 服务 器 应 用 软件 比较 复杂 ,这 使 得 分 析 性 能 数据 和 性 能 调 
整 也 变 得 十 分 复杂 。 例 如 多 个 软件 构件 在 服务 器 上 相互 作用 来 为 特定 的 请 求 服务 ,应 用 延 
迟 时 间 将 可 能 由 这 些 构 件 中 的 任何 一 个 产生 。 如 果 A2 比较 大 , 则 说 明 数 据 库 服 务 器 处 理 

存在 问题 ,建议 进行 SQL 优化 。 
响应 时 间 会 受到 用 户 负载 (用 户 数量 ) 的 影响 。 在 刚 开 始 时 ,响应 时 间 随 着 用 户 负载 的 
增加 而 缓慢 增加 ,但 一 旦 系统 的 某 一 种 或 几 种 资源 被 耗 尽 , 响 应 时 间 就 会 快速 增加 。 图 5-3 
表明 了 响应 时 间 与 用 户 负载 量 之 间 的 典型 特征 关系 。 响 


而 应 时 间 和 用 户 负 载 数量 是 呈现 指数 增长 方式 的 ,在 临界 值 

芭 附近 响应 时 间 突 然 增 加 ,这 常常 是 由 于 系统 某 一 种 或 多 种 
间 资源 达到 了 最 大 利用 率 造 成 的 。 

用 户 负 城 数 量 在 互联 网 上 对 于 用 户 响应 时 间 , 有 一 个 普遍 的 标准 ， 

图 5-3 “响应 时 间 与 用 户 负载 数量 。 即 2/5/10 秒 原则 。 也 就 是 说 ,在 2 秒 之 内 给 用 户 做 出 响 

的 特征 曲线 应 被 用 户 认为 是 “非常 有 吸引 力 ” 的 用 户 体验 。 在 5 秒 之 


内 给 用 户 响 应 被 认为 是 “比较 不 错 ” 的 用 户 体验 ,在 10 秒 
之 内 给 用 户 响应 被 认为 是 “糟糕 ”的 用 户 体验 。 如 果 超 过 10 秒 用 户 还 没有 得 到 响应 ,那么 大 
多 用 户 会 认为 这 次 请 求 是 失败 的 。 


2. 香 吐 量 (Throughput) 


吞吐 其 是 指 在 某 个 特定 的 时 间 单 位 内 系统 所 处 理 的 用 户 请 求 数 量 , 它 直接 体现 软件 系 
统 的 性 能 承受 力 。 吞 吐 量 常 用 的 单位 是 请 求 数 / 秒 、 页 面 数 / 秒 或 字 节 数 / 秒 。 

作为 一 个 最 有 效 的 性 能 指标 , Web 应 用 的 吞吐 量 常 常 在 设计 、 开 发 和 发 布 等 不 同 阶段 
进行 测量 和 分 析 。 例 如 在 能 力 计 划 阶 段 ,吞吐 量 是 确定 Web 站 点 的 硬件 和 系统 需求 的 关键 
参数 。 此 外 吞吐 量 在 识别 性 能 瓶颈 和 改进 应 用 和 系统 性 能 方面 也 扮演 着 重要 的 角色 。 不 管 
Web 平台 是 使 用 单个 服务 器 还 是 多 个 服务 器 ,吞吐 量 统计 都 表明 了 系统 对 不 同 用 户 负 载 水 
平 所 反映 出 来 的 相似 特征 。 

图 5-4 显示 了 吞吐 量 与 用 户 负载 之 间 的 特征 关系 曲线 图 。 

在 初始 阶段 ,系统 的 吞吐 量 与 用 户 负载 量 成 正比 例 增 长 ， 
然而 由 于 系统 资源 的 限制 ,吞吐 量 不 可 能 无 限 地 增加 。 当 知 埋 
吐 量 达到 一 个 峰值 时 ,整个 系统 的 性 能 就 会 随 着 负载 的 增加 监 
而 降低 。 最 大 的 吞吐 量 也 就 是 图 5-4 中 的 峰值 点 ,是 系统 在 


给 定 的 单位 时 间 内 能 够 并 发 处 理 的 最 大 用 户 请 求 数目 。 用 户 负 载 
在 有 些 测 试 工具 中 ,表达 吞吐 量 的 标准 方式 为 每 秒 事务 ”图 5-4 吞吐 量 与 用 户 负载 的 
处 理 数 (Transaction Per Second,TPS)。 掌 握 这 种 测试 应 用 特征 曲线 


程序 中 事务 处 理 所 表示 的 含义 是 非常 重要 的 . 它 可 能 是 一 个 
单一 的 查询 ,也 可 能 是 一 个 特定 的 查询 组 ; 在 消息 系统 中 , 它 可 能 是 一 个 单一 的 消息 ; 而 在 
Servlet 应 用 程序 中 它 可 能 是 一 个 请 求 。 换 句 话说 ,吞吐 量 的 表达 方式 依赖 于 应 用 程序 ,是 
一 个 容量 (Capacity) 测 度 。 

吞吐 量 和 用 户 数 之 间 存 在 一 定 的 关系 。 在 没有 出 现 性 能 瓶颈 的 时 候 , 吞 吐 量 可 以 采用 
式 (5-1) 计 算 。 
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到 三 


Nu XR _ 
这 (5-1) 


其 中 ,下 表示 吞吐 量 ,N,, 表 示 虚 拟 用 户 数 (VU) 的 个 数 ,R 表示 每 个 虚拟 用 户 发 出 的 请 
求 数 量 ,T 表示 性 能 测试 所 用 的 时 间 。 如 果 出 现 了 性 能 瓶颈 ,测试 吞吐 量 和 虚拟 用 户 之 间 就 
不 再 符合 公式 给 出 的 关系 。 

在 LoadRunner 中 ,Total Throughput(bytes) 的 含义 是 在 整个 测试 过 程 中 ,从 服务 器 返 
回 给 客户 端的 所 有 字 节 数量 。 

吞吐 量 /传输 时 间 就 得 到 吞吐 率 。 


3. 并 发 用 户 数 (Concurrent Users) 


并 发 用 户 数 是 指 在 某 一 给 定时 间 内 ,在 某 个 特定 站 点 上 进行 公开 会 话 的 用 户 数 目 。 当 
并 发 用 户 数目 增加 时 ,系统 资源 利用 率 也 将 增加 。 

并 发 有 两 种 情况 : 一 种 是 严格 意义 上 的 并 发 , 另 一 种 是 广义 的 并 发 。 

严格 意义 上 的 并 发 是 指 所 有 的 用 户 在 同一 时 刻 做 同一 件 事 或 操作 ,这 种 操作 一 般 指 做 
同一 类 型 的 业务 。 例 如 ,所 有 用 户 同 一 时 刻 做 并 发 登录 ,或 者 同一 时 刻 提交 表单 。 

广义 的 并 发 中 ,尽管 多 个 用 户 对 系统 发 出 了 请 求 或 者 进行 了 操作 ,但 是 这 些 请 求 或 者 操 
作 可 以 是 相同 的 ,也 可 以 是 不 同 的 。 例 如 ,在 同一 时 刻 有 的 用 户 在 登录 ,有 的 用 户 在 提交 表 
单 , 他 们 都 给 服务 器 产生 了 负载 ,构成 了 广义 的 并 发 。 

在 实际 测试 中 ,需要 确定 并 发 用 户 数 的 具体 数值 ,可 采用 式 (5-2) 和 式 (5-3) 来 估算 并 发 
用 户 数 和 峰值 。 


、_ 三 
c= 车 (5-2) 


名 


Cx~C+3 (5-3) 

其 中 ， 

C: 平均 的 并 发 用 户 数 ; 

7: login session 的 数量 (可 以 大 体 估算 每 天 登录 这 个 网 站 的 用 户 ),login session 定义 
为 用 户 登 录 进入 系统 到 退出 系统 的 时 间 段 ; 

荆 : login session 的 平均 长 度 ; 

工 : 考察 的 时 间 段 长 度 。 例 如 ,对 于 博客 网 站 考察 时 间 可 以 认为 是 8 小 时 或 者 24 小 时 等 。 

式 (5-3) 则 给 出 了 并 发 用 户 数 峰值 的 计算 方式 ,其 中 @ 指 并 发 用 户 数 的 峰值 ,C 就 是 
式 (5-2) 中 得 到 的 平均 并 发 用 户 数 。 该 式 的 得 出 是 假设 用 户 的 login session 产生 符合 泊 松 
分 布 而 估算 的 。 

假设 某 博 客 系统 有 20 000 个 注册 用 户 ,每 天 访问 系统 的 平均 用 户 数 是 5000 个 ,用 户 在 
16 小 时 内 使 用 系统 ,一 个 典型 用 户 ,一 天 内 从 登录 到 退出 系统 的 平均 时 间 为 1 小 时 ,依据 
式 (5-2) 和 式 (5-3) 可 计算 平均 并 发 用 户 数 和 峰值 用 户 数 。 其 中 ,C= 二 5000 X 1/16 二 312. 5， 
C= 312.5 + 3 X V312.5=365。 

关于 用 户 并 发 的 数量 ,有 两 种 常见 的 错误 观点 。 一 种 错误 观点 是 把 并 发 用 户 数量 理解 
为 使 用 系统 的 全 部 用 户 的 数量 ,理由 是 这 些 用 户 可 能 同时 使 用 系统 。 另 一 种 错误 观点 是 把 
在 线 用 户 数量 理解 为 并 发 用 户 数量 。 实 际 上 在 线 用 户 不 一 定 会 和 其 他 用 户 发 生 并 发 ,例如 
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有 些 用 户 登录 某 网 站 后 ,长 时 间 没 有 进行 任何 操作 ,他 们 属于 在 线 用 户 , 但 没有 和 其 他 用 户 
构成 并 发 用 户 。 


4. 系统 资源 利用 率 (Utilization) 


资源 利用 率 是 指 系统 不 同 资源 的 使 用 程度 ,例如 服务 器 的 CPU、 内 存 、 网 络 带宽 等 , 通 
常用 占有 资源 的 最 大 可 用 量 的 百分比 来 衡量 。 资 源 利用 率 是 分 析 系 统 性 能 指标 进而 改善 
性 能 的 主要 依据 ,是 性 能 测试 工作 的 重点 。 在 Web 测试 中 ,资源 利用 率 主要 针对 Web 服 
务 器 ,操作 系统 ,数据库 服务 器 和 网 络 等 ,它们 是 性 能 测试 和 分 析 性 能 瓶颈 的 主要 参考 
依据 。 


资源 利用 率 与 用 户 负载 有 紧密 的 关系 ,图 5-5 表明 了 


次 资源 利用 率 与 用 户 负载 之 间 的 关系 特征 。 
下 从 图 5-5 可 知 ,在 开始 阶段 ,资源 利用 率 与 用 户 负载 
率 成 正比 关系 。 但 是 , 当 资 源 利用 率 达 到 一 定数 量 时 , 随 着 
用 户 负载 用 户 量 的 持续 增长 ,利用 率 将 保持 一 个 恒定 的 值 ,说 明 系 
图 5-5 资源 利用 率 与 用 户 负载 的 ” 统 已 经 达到 资源 的 最 大 可 用 度 。 同 时 也 说 明了 当 资 源 的 
特征 曲线 恒定 值 保持 在 100% 时 ,该 资源 已 经 成 为 系统 的 瓶颈 。 提 


升 这 种 资源 的 容量 可 以 增加 系统 的 乔 吐 量 并 缩短 等 待 时 
间 。 为 了 定位 瓶颈 ,需要 经 历 一 个 漫长 的 性 能 测试 过 程 去 检查 一 切 可 疑 的 资源 ,然后 通过 增 
加 该 资源 的 容量 ,检查 系统 性 能 是 否 得 到 了 改善 。 


5. 点 击 率 (Hits Per Second) 


点 击 率 (Hits Per Second) 是 指 客户 端 每 秒 向 Web 服务 器 端 提 交 的 HTTP 请 求 数 量 。 
这 个 指标 是 Web 应 用 特有 的 一 个 指标 : Web 应 用 是 “请 求 -响应 "模式, 用户 发 出 一 次 申请 ， 
服务 器 就 要 处 理 一 次 ,所 以 点 击 是 Web 应 用 能 够 处 理 的 交易 的 最 小 单位 。 需 要 注意 的 是 ， 
这 里 的 点 击 并 非 指 鼠标 的 一 次 单 击 操作 ,因为 在 一 次 单 击 操作 中 ,客户 端 可 能 向 服务 器 发 出 
多 个 HTTP 请 求 。 例 如 ,在 访问 一 次 页 面 中 ,假设 该 页 面 里 包含 10 个 图 片 , 用 户 只 单 击 鼠 
标 一 次 就 可 以 访问 该 页 面 ,而 此 次 访问 的 点 击 量 为 11 次 。 

容易 看 出 ,点 击 率 越 大 ,对 服务 器 的 压力 越 大 。 点 击 率 只 是 一 个 性 能 参考 指标 ,重要 的 
是 分 析 点 击 时 产生 的 影响 。 客 户 端 发 出 的 请 求 数量 越 多 ,与 之 相对 的 平均 每 秒 吞吐 量 
(Average Throughput,bytes/second) 也 应 该 越 大 ,并 且 发 出 的 请 求 越 多 对 平均 事务 响应 时 
间 造 成 的 影响 也 越 大 。 

如 果 把 每 次 点 击 定义 为 一 个 交易 ,点 击 率 和 TPS 就 是 一 个 概念 。 每 秒 事务 数 
(Transaction Per Second,TPS) 就 是 每 秒 钟 系统 能 够 处 理 的 交易 或 者 事务 数量 。 


6. 思考 时 间 (Think Time) 


思考 时 间 也 称 为 休眠 时 间 , 从 业务 的 角度 来 说 ,这 个 时 间 指 的 是 用 户 在 进行 操作 时 ,每 
个 请 求 之 间 的 间隔 时 间 。 对 交互 式 应 用 来 说 ,用 户 在 使 用 系统 时 ,不 太 可 能 持续 不 断 地 发 出 
请 求 ,更 一 般 的 模式 应 该 是 用 户 在 发 出 一 个 请 求 后 ,等 待 一 段 时间 ,再 发 出 下 一 个 请 求 。 从 
自动 化 测试 实现 的 角度 来 说 ,要 真实 地 模拟 用 户 操作 ,就 必须 在 测试 脚本 中 让 各 个 操作 之 间 
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间隔 一 段 时 间 。 体 现在 脚本 中 ,就 是 在 操作 之 间 放 一 个 Think 函数 ,使 得 脚本 在 执行 两 个 
操作 之 间 等 待 一 段 时 间 。 


7. HTTP 请 求 出 错 率 


HTTP 请 求 出 错 率 是 指 失 败 的 请 求 数 占 请 求 总 数 的 比例 。 请 求 出 错 率 越 高 ,说 明 所 测 
系统 的 性 能 越 差 。 


8. 网 络 流量 统计 (Network Statistics) 


当 负载 增加 时 ,还 应 该 监视 网 络 流量 统计 以 确定 合适 的 网 络 带宽 。 典 型 地 ,如 果 网 络 带 
宽 的 使 用 超过 了 40% ,那么 网 络 的 使 用 就 达到 了 一 个 使 之 成 为 应 用 瓶颈 的 水 平 。 


9. 标准 偏差 (Std. Deviation) 


标准 偏差 体现 了 系统 的 稳定 性 程度 。 偏 差 越 大 ,表明 系统 越 不 稳定 ,这 样 的 后 果 就 是 部 
分 用 户 可 以 感受 良好 的 性 能 ,而 另 一 部 分 用 户 却 要 等 待 很 长 的 时 间 。 


5.3.2 性 能 计数 器 


性 能 计数 器 (Counter) 是 描述 服务 器 或 操作 系统 性 能 的 一 些 数据 指标 。 计 数 器 在 性 能 
测试 中 发 挥 着 “监控 和 分 析 ” 的 关键 作用 ,尤其 是 在 分 析 系统 的 可 扩展 性 .进行 性 能 瓶颈 的 定 
位 时 ,对 计数 器 的 取 值 的 分 析 非 常 关 键 。 但 单一 的 性 能 计数 器 只 能 体现 系统 性 能 的 某 一 个 
方面 ,对 性 能 测试 结果 的 分 析 必 须 基 于 多 个 不 同 的 计数 器 。 

与 性 能 计数 器 相关 的 另 一 个 术语 是 “资源 利用 率 "。 资 源 利用 率 指 的 是 对 不 同 的 系统 资 
源 的 使 用 程度 ,例如 服务 器 的 CPU 利用 率 、 磁 盘 利 用 率 等 。 资 源 利用 率 是 分 析 系 统 性 能 指 
标 进而 改善 性 能 的 主要 依据 ,主要 针对 Web 服务 器 操作 系统 .数据 库 服 务 器 、 网 络 等 。 


1. Processor( 处 理 器 ) 


计算 机 处 理 器 是 一 个 重要 的 资源 , 它 直 接 影响 应 用 系统 的 性 能 。 测 量 出 线程 处 理 在 一 
个 或 多 个 处 理 器 上 所 花费 的 时 间 数 量 是 十 分 必要 的 ,因为 它 可 以 为 如 何 配置 系统 提供 信息 。 
如 果 Web 应 用 系统 的 瓶颈 是 处 理 器 ,那么 提高 系统 的 性 能 就 可 以 通过 增加 处 理 器 来 实现 。 

(1) % Processor Time: 被 消耗 的 处 理 器 时 间 数 量 。 

如 果 服 务 器 专用 于 SQL server, 可 接受 % Processor Time 的 最 大 上 限 是 80 名 一 85%% ， 
也 就 是 常见 的 CPU 使 用 率 。 

(2) Processor Queue Length: 处 理 器 队列 长 度 。 

如 果 Processor Queue Length 显示 的 队列 长 度 保持 不 变 ( 三 2) ,并 且 处 理 器 的 利用 率 
%Processor time 超过 90 儿 ,那么 很 可 能 存在 处 理 器 瓶颈 。 如 果 发 现 Processor Queue 
Length 显示 的 队列 长 度 超过 2 ,而 处 理 器 的 利用 率 却 一 直 很 低 ,或 许 更 应 该 去 解决 处 理 器 阻 
塞 问题 。 


2. Process( 进 程 ) 


(1) Working Set: 进程 工作 集 , 是 虚拟 地 址 空间 在 物理 内 存 中 的 那 部 分 ,包含 了 一 个 进 
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程 内 的 各 个 线程 引用 过 的 页 面 。 由 于 每 个 进程 工作 集中 包含 了 共享 页 面 , 所 以 Working 
Set 值 会 大 于 实际 的 总 进程 内 存 使 用 量 。 

如 果 服 务 器 有 足够 的 空闲 内 存 ,页 就 会 被 留 在 工作 集中 , 当 自 由 内 存 少 于 一 个 特定 的 阔 
值 时 ,页 就 会 被 清除 出 工作 集 。 

(2) Private Bytes: 分 配 的 私有 虚拟 内 存 总 数 , 即 私有 的 \ 已 提交 的 虚拟 内 存 使 用 量 。 

分 析 : 内 存 泄 露 时 表现 的 现象 是 私有 虚拟 内 存 的 递增 ,而 不 是 工作 集 大 小 的 递增 。 在 
某 个 点 上 ,内 存 管理 器 会 阻止 一 个 进程 继续 增加 物理 内 存 大 小 ,但 它 可 以 继续 增 大 虚拟 内 存 
大 小 。 如 果 系统 性 能 随 着 时 间 而 降低 , 则 此 计数 器 可 以 是 内 存 泄漏 的 最 佳 指示 器 。 


3. Memory( 内 存 ) 


内 存在 任何 计算 机 系统 中 都 是 完整 硬件 系统 的 一 个 不 可 分 割 的 部 分 。 增 加 更 多 的 内 存 
在 执行 过 程 中 将 会 加 快 IO 处 理 过 程 ,因此 Web 系统 性 能 与 内 存 、 缓 存 或 磁盘 之 间 的 页 面 


置换 紧密 相关 。 内 存 常 用 指标 如 表 5-6 所 示 。 


指 标 


表 5-6 内存 常 用 指标 
说 有 明 


Available Bytes 

Page Faults/sec 

Page Reads/sec 

Page Writes/sec 
Pages Input/sec 
Pages Output/sec 
Pages/sec 

Pool Nonpaged Allocs 
Pool Nonpaged Bytes 
Pool Paged Allocs 
Pool Paged Bytes 
Cache Bytes 

Cache Bytes Peak 
Cache Faults/sec 


Demand Zero Faults/sec 

Free System Page Table Entries 
Pool Paged Resident Bytes 
System Cache Resident Bytes 
System Code Resident Bytes 
System Code Total Bytes: 
System Driver Resident Bytes 
System Driver Total Bytes 


Transition Faults/sec 


Write Copies/sec 


剩余 的 可 用 物理 内 存量 (能 立刻 分 配给 一 个 进程 或 系统 使 用 的 ) 

处 理 器 每 秒 处 理 的 错误 页 (包括 软 / 硬 错误 ) 

读 取 磁 盘 以 解析 硬 页 面 错误 的 次 数 

为 了 释放 物理 内 存 空 间 而 将 页 面 写 人 磁盘 的 速度 

为 了 解决 硬 错误 页 ,从 磁盘 读 取 的 页 数 

为 了 释放 物理 内 存 空 间 而 将 页 面 写 人 磁盘 的 页 数 

为 解决 硬 错误 页 ,从 磁盘 读 取 或 写 人 磁盘 的 页 数 

在 换 页 池 中 分 派 空间 的 调用 数 

在 非 换 页 池 中 的 字 节 数 

在 换 页 池 中 分 派 空 间 的 调用 次 数 

在 换 页 池 中 的 字 节 数 

系统 工作 集 的 总 大 小 

系统 启动 后 文件 系统 缓存 使 用 的 最 大 字 节 数量 

在 文件 系统 缓存 中 找 不 到 要 寻找 的 页 而 需要 从 内 存 的 其 他 地 方 或 从 
磁盘 上 检索 时 出 现 的 错误 的 速度 

通过 零 化 页 面 来 弥补 分 页 错误 的 平均 速度 

系统 没有 使 用 的 页 表 项 目 

换 页 池 所 使 用 的 物理 内 存 

文件 系统 缓存 可 换 页 的 操作 系统 代码 的 字 节 大 小 

可 换 页 代码 所 使 用 的 物理 内 存 

当前 在 虚拟 内 存 中 的 可 换 页 的 操作 系统 代码 的 字 节 数 

可 换 页 的 设备 驱动 程序 代码 所 使 用 的 物理 内 存 

设备 驱动 程序 当前 使 用 的 可 换 页 的 虚拟 内 存 的 字 节 数 

在 没有 额外 磁盘 运行 的 情况 下 ,通过 恢复 页 面 来 解决 页 面 错误 的 
速度 

指 通 过 从 物理 内 存 中 的 其 他 地 方 复制 页 面 来 满足 写 人 尝试 而 引起 的 
页 面 错误 速度 
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各 指标 的 详细 说 明 如 下 。 

(1) Available Bytes: 剩余 的 可 用 物理 内 存量 ,此 内 存 能 立刻 分 配给 一 个 进程 或 系统 使 
用 。 它 是 空闲 列表 、 零 列表 和 备用 列表 的 大 小 总 和 。 

分 析 : 至 少 要 有 10% 的 物理 内 存 值 ,最 低 限 度 是 4 MB。 如 果 Available Bytes 的 值 很 
小 (4 MB 或 更 小 ) , 则 说 明 计 算 机 上 总 的 内 存 可 能 不 足 ,或 某 程序 没有 释放 内 存 。 

(2) Page Faults/sec: 处 理 器 每 秒 处 理 的 错误 页 (包括 软 / 硬 错误 ) 。 当 处 理 器 向 内 存 指 
定 的 位 置 请 求 一 页 (可 能 是 数据 或 代码 ) 出 现 错误 时 ,就 构成 一 个 Page Fault。 

如 果 该 页 在 内 存 的 其 他 位 置 ,该 错误 被 称 为 软 错误 ,如 果 该 页 必须 从 硬盘 上 重新 读 取 
时 ,被 称 为 硬 错误 。 许 多 处 理 器 可 以 在 有 大 量 软 错误 的 情况 下 继续 操作 。 但 是 , 硬 错误 可 以 
导致 明显 的 拖延 ,因为 需要 访问 磁盘 。 

(3) Page Reads/sec: 读 取 磁盘 以 解析 硬 页面 错 误 的 次 数 。Page Reads/sec 是 Page/ 
sec 的 子 集 ,是 为 了 解决 硬 错误 ,从 硬盘 读 取 的 次 数 。 

分 析 : Page Reads/sec 的 阔 值 为 二 5 , 越 低 越 好 。Page Reads/sec 持续 大 于 5, 表 明 内 存 
的 读 请 求 发 生 了 较 多 的 缺 页 中 断 , 说 明 进 程 的 Working Set 已 经 不 够 ,使 用 硬盘 来 虚拟 内 
存 。 如 果 Page Reads/sec 为 比较 大 的 值 ,可 能 内 存 出 现 了 瓶颈 。 

(4) Page Writes/sec: 为 了 释放 物理 内 存 空 间 而 将 页 面 写 人 磁盘 的 速度 。 

(5) Pages Input/sec: 为 了 解决 硬 错误 页 ,从 磁盘 读 取 的 页 数 。 当 一 个 进程 引用 一 个 虚 
拟 内 存 的 页 面 , 而 此 虚拟 内 存 位 于 工作 集 以 外 或 物理 内 存 的 其 他 位 置 , 并 且 此 页 面 必须 从 磁 
盘 检索 时 ,就 会 发 生硬 页 面 错误 。 

(6) Pages Output/sec : 为 了 释放 物理 内 存 空间 而 将 页 面 写 人 磁盘 的 页 数 。 高 速 的 页 
面 输出 可 能 表示 内 存 不 足 。 当 物理 内 存 不 足 时 , Windows 会 将 页 面 写 回 到 磁盘 以 便 释放 
空间 。 

(7) Pages/sec: 为 解决 硬 错误 页 ,从 磁盘 读 取 或 写 人 磁盘 的 页 数 。 这 个 计数 器 是 可 以 
显示 导致 系统 范围 延缓 类 型 错误 的 主要 指示 器 。 它 是 Pages Input/sec 和 Pages Output/ 
sec 的 总 和 ,是 用 页 数 计算 的 ,以 便 在 不 做 转换 的 情况 下 就 可 以 同 其 他 页 计数 。 

如 果 pages/sec 持续 高 于 几 百 ,那么 应 该 进一步 研究 页 交换 活动 。 有 可 能 需要 增加 内 
存 , 以 减少 换 页 的 需求 (把 这 个 数字 乘 以 4k 就 得 到 由 此 引起 的 硬盘 数据 流量 )。Pages/sec 
的 值 很 大 不 一 定 表 明 内 存 有 问题 ,也 可 能 是 运行 使 用 内 存 映 射 文件 的 程序 所 致 。 

(8) Pool Nonpaged Allocs: 在 换 页 池 中 分 派 空间 的 调用 数 。 它 是 用 衡量 分 配 空间 的 调 
用 数 来 计数 的 ,而 不 管 在 每 个 调用 中 分 派 的 空间 数 是 多 少 。 

如 果 Pool Nonpaged Allocs 自 系统 启动 以 来 增长 了 10% 以 上 , 则 表明 有 潜在 的 严重 
瓶颈 。 
(9) Pool Nonpaged Bytes: 在 非 换 页 池 中 的 字 节 数 , 非 换 页 池 是 指 系统 内 存 中 可 供 对 
象 使 用 的 一 个 区 域 。 

(10) Pool Paged Allocs: 在 换 页 池 中 分 派 空间 的 调用 次 数 。 它 是 用 计算 分 配 空间 的 调 
用 次 数 来 计算 的 ,而 不 管 在 每 个 调用 中 分 派 的 空间 数 是 什么 。 

(11) Pool Paged Bytes: 在 换 页 池 中 的 字 节 数 , 换 页 池 是 系统 内 存 中 可 供 对 象 使 用 的 一 
个 区 域 。 

(12) Cache Bytes: 系统 工作 集 的 总 大 小 ,其 包括 以 下 代码 或 数据 驻 留 在 内 存 中 的 那 一 
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部 分 : 系统 缓存 . 换 页 内 存 池 、 可 换 页 的 系统 代码 ,以 及 系统 映射 的 视图 。 

(13) Cache Bytes Peak: 系统 启动 后 文件 系统 缓存 使 用 的 最 大 字 节 数量 。 这 可 能 比 当 
前 的 缓存 量 要 大 。 

(14) Cache Faults/sec : 在 文件 系统 缓存 中 找 不 到 要 寻找 的 页 而 需要 从 内 存 的 其 他 地 
方 或 从 磁盘 上 检索 时 出 现 的 错误 的 速度 。 这 个 值 应 该 尽 可 能 得 低 , 较 大 的 值 表明 内 存 出 现 
短缺 ,缓存 命中 很 低 。 

(15) Demand Zero Faults/sec: 通过 零 化 页 面 来 弥补 分 页 错误 的 平均 速度 。 

(16) Free System Page Table Entries: 系统 没有 使 用 的 页 表 项 目 。 

(17) Pool Paged Resident Bytes: 换 页 池 所 使 用 的 物理 内 存 。 

(18) System Cache Resident Bytes: 文件 系统 缓存 可 换 页 的 操作 系统 代码 的 字 节 大 
小 。 通 俗 含义 是 系统 缓存 所 使 用 的 物理 内 存 。 

(19) System Code Resident Bytes : 操作 系统 代码 当前 在 物理 内 存 的 字 节 大 小 ,此 物理 
内 存在 未 使 用 时 可 写 信 磁盘。 通俗 含义 是 可 换 页 代码 所 使 用 的 物理 内 存 。 

(20) System Code Total Bytes: 当前 在 虚拟 内 存 中 的 可 换 页 的 操作 系统 代码 的 字 节 
数 。 此 计算 器 用 来 衡量 在 不 使 用 时 可 以 写 入 到 磁盘 上 的 操作 系统 使 用 的 物理 内 存 的 
数量 。 

(21) System Driver Resident Bytes: 可 换 页 的 设备 驱动 程序 代码 所 使 用 的 物理 内 存 。 

(22) System Driver Total Bytes: 设备 驱动 程序 当前 使 用 的 可 换 页 的 虚拟 内 存 的 字 
节 数 。 

(23) Transition Faults/sec: 在 没有 额外 磁盘 运行 的 情况 下 ,通过 恢复 页 面 来 解决 页 面 
错误 的 速度 。 如 果 这 个 指标 持续 居 高 不 下 说 明 内 存 存在 瓶颈 ,应 该 考虑 增加 内 存 。 

(24) Write Copies/sec: 指 通过 从 物理 内 存 中 的 其 他 地 方 复制 页 面 来 满足 写 和 人 尝试 而 
引起 的 页 面 错误 速度 。 此 计数 器 显示 的 是 复制 次 数 ,不 考虑 每 次 操作 中 被 复制 的 页 面 数 。 

如 果 怀 疑 有 内 存 泄露 , 则 监测 内 存 的 Available Bytes 和 Committed Bytes, 以 观察 内 存 
行为 ,并 监测 可 能 存在 泄露 内 存 的 进程 的 Private Bytes、Working Set 和 Handle Count。 如 
果 怀 疑 是 内 核 模 式 进程 导致 了 泄露 , 则 还 需 监 测 内 存 的 Pool Nonpaged Bytes、Nonpaged 
Allocs。 


4. Disk( 磁 盘 ) 


磁盘 是 一 个 大 容量 的 低速 设备 ,在 磁盘 上 存放 所 用 的 时 间 描 述 了 请 求 的 等 待 时 间 和 数 
据 资源 的 空间 占用 时 间 ,为 改进 系统 性 能 提供 了 更 加 丰富 的 信息 。 系 统 性 能 同时 还 依赖 于 
磁盘 队列 长 度 , 它 表征 了 磁盘 上 尚未 处 理 的 请 求 数目 ,持续 不 断 的 队列 意味 着 磁盘 或 内 存 配 
置 存 在 问题 。 

磁盘 的 各 性 能 指标 如 表 5-7 所 示 。 

%Disk Time 的 正常 值 小 于 10, 此 值 过 大 表示 耗费 太 多 时 间 来 访问 磁盘 ,可 考虑 增加 内 
存 、 更 换 更 快 的 硬盘 、 优 化 读 写 数据 的 算法 。 若 数值 持续 超过 80, 则 可 能 是 内 存 泄露 。 如 果 
只 有 %Disk Time 比较 大 ,硬盘 有 可 能 是 瓶颈 。 

如 果 分 析 的 计数 器 指标 来 自 于 数据 库 服 务 器 文件 服务 器 或 是 流 媒 体 服务 器 ,磁盘 IO 
对 这 些 系 统 来 说 更 容易 成 为 瓶颈 。 
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表 5-7 磁盘 性 能 指标 
指 标 说 有明 


Average Disk Queue Length 磁盘 读 取 和 写 入 请 求 提供 服务 所 用 的 时 间 百 分 比 ,可 以 通过 增 
加 磁盘 构造 磁盘 阵列 来 提高 性 能 ,该 值 应 不 超过 磁盘 数 的 
1.5 一 2 倍 。 如 果 要 提高 性 能 ,可 增加 磁盘 

Average Disk Read Queue Length 磁盘 读 取 请 求 的 平均 数 

Average Disk write Queue Length 磁盘 写 和 请求 的 平均 数 


Average Disk sec/Read 以 秒 计 算 的 在 磁盘 上 读 取 数 据 所 需 的 平均 时 间 

Average Disk sec/Transfer 以 秒 计 算 的 在 磁盘 上 写 和 人 数据 所 需 的 平均 时 间 

Disk Bytes/sec 提供 磁盘 系统 的 吞吐 率 

Disk reads/(writes)/s 每 秒 钟 磁盘 读 、 写 的 次 数 。 两 者 相 加 ,应 小 于 磁盘 设备 最 大 容量 

%Disk Time 磁盘 驱动 器 为 读 取 或 写 人 请求 提供 服务 所 用 的 时 间 百 分 比 , 其 
正常 值 <~10 


%Disk reads/sec (physicaldisk_total) ”每 秒 读 硬 盘 字 节 数 
%Disk write/sec(physicaldisk_total) ”每 秒 写 硬盘 字 节 数 


磁盘 瓶颈 判断 公式 : 每 磁盘 的 IO 数 三 ( 读 次 数 十 (4X 写 次 数 ))/ 磁 盘 个 数 
每 磁盘 的 1/O 数 可 用 来 与 磁盘 的 I/O 能 力 进行 对 比 ,如 果 计 算出 来 的 每 磁盘 I/O 数 超 
过 了 磁盘 标 称 的 I/O 能 力 , 则 说 明确 实 存在 磁盘 的 性 能 瓶颈 。 


5. Network( 网 络 ) 


网 络 分 析 是 一 件 技 术 含 量 很 高 的 工作 ,在 一 般 的 组 织 中 都 有 专门 的 网 络 管理 人 员 进 行 
网 络 分 析 ,对 测试 工程 师 来 说 ,如 果 怀 疑 网 络 是 系统 的 瓶颈 ,可 以 要 求 网 络 管理 人 员 来 进行 
网 络 方面 的 检测 。 

(1) Network Interface Bytes Total/sec: 表示 发 送 和 接收 字 节 的 速率 (包括 帧 字符 在 
内 )。 可 以 通过 该 计数 器 的 值 判 断 网 络 连接 速度 是 否 是 瓶颈 ,具体 操作 方法 是 用 该 计数 器 的 
值 与 目前 的 网 络 带 宽 进 行 比较 。 

(2) Bytes Total/sec: 表示 网 络 中 接受 和 发 送 字 节 的 速度 ,可 以 用 该 计数 器 来 判断 网 络 
是 否 存在 瓶颈 。 

网 络 性 能 指标 通常 用 来 分 析 网 络 传输 率 对 Web 性 能 的 影响 , 它 与 网 络 带 宽 、 网 络 连 接 
类 型 和 其 他 项 开销 有 关 。 然 而 直接 分 析 Internet 的 网 络 流量 是 不 可 能 的 ,这 种 拥塞 取决 于 
网 络 带宽 .网 络 连接 类 型 和 其 他 项 开销 。 所 以 可 以 通过 观察 固定 的 字 节 数 从 服务 器 端 到 客 
户 端 所 用 的 时 间 来 分 析 网 络 传输 速度 。 同 时 ,客户 与 客户 间 的 连接 可 能 不 同 ,因此 网 络 带宽 
问题 也 会 影响 系统 性 能 。 


5.3.3 性 能 参数 


性 能 度量 指标 与 系统 性 能 参数 是 密切 相关 的 。 性 能 指标 的 获取 必须 通过 设置 性 能 参数 
来 得 到 。 根 据 测试 的 内 容 和 目的 的 不 同 ,所 设置 的 测试 参数 也 不 一 样 。 
这 些 性 能 参数 大 体 上 可 分 为 如 下 几 种 类 型 。 
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1. 系统 参数 


系统 参数 是 指 服务 器 本 身 的 系统 配置 属性 设置 。 一 些 服务 器 端的 特点 常常 影响 系统 性 
能 。 例 如 镜像 服务 器 的 负载 平衡 .网络 协议 的 类 型 、Web 服务 器 支持 的 最 大 连接 数目 、 数 据 
库 管理 系统 支持 的 最 大 线程 数量 等 都 会 影响 到 性 能 。 


2. 资源 参数 


资源 参数 是 指 系统 配置 资源 的 特征 指标 。 某 些 资源 因为 其 内 在 特性 而 影响 系统 的 性 
能 。 例 如 磁盘 寻 道 时 间 、 传 输 速率 、 网 络 带宽 .路 由 延迟 等 。 


3. 工作 负载 参数 


系统 负载 在 任何 时 候 都 会 影响 系统 的 性 能 。 某 些 参 数 如 Web 代理 服务 器 的 每 日 访问 
量 (Hits/day) ,每 秒 提交 给 文件 服务 器 的 请 求 个 数 (Requests/sec) 、 每 秒 提交 到 数据 库 服 务 
器 的 事务 数量 等 ,它们 在 性 能 测试 中 起 着 主要 作用 。 


5.3.4 性 能 监控 与 分 析 
1. 监控 指标 


(1) 通用 指标 : 指 Web 应 用 服务 器 .数据库 服务 器 .客户 端 必需 测试 项 。 

QO@ ProcessorTime: 指 服务 器 CPU 占用 率 ,一 般 平均 达到 70% 时 ,服务 就 接近 饱和 ; 

@ Memory Available Mbyte: 可 用 内 存 数 ,如 果 测试 时 发 现 内 存 有 变化 情况 也 要 注意 ， 
如 果 是 内 存 泄露 则 比较 严重 ; 

@ Physicsdisk Time : 物理 磁盘 读 写 时 间 。 

(2) Web 服务 器 指标 。 

@D Arvg Rps: 平均 每 秒 钟 响应 次 数 王 总 请 求 时 间 / 秒 数 ; 

@ Avg Time to Last Byte per Terstion(mstes) : 平均 每 秒 业 务 脚本 的 迭代 次 数 ; 

@ Successful Rounds: 成 功 的 请 求 ; 

@ Failed Rounds: 失败 的 请 求 ; 

@@ Successful Hits: 成 功 的 点 击 次 数 ; 

Failed Hits: 失败 的 点 击 次 数 ; 

@ Hits Per Second: 每 秒 点 击 次 数 ; 

@ Successful Hits Per Second: 每 秒 成 功 的 点 击 次 数 ; 

@ Failed Hits Per Second: 每 秒 失败 的 点 击 次 数 ; 

四 Attempted Connections: 尝试 链接 数 。 

(3) 数据 库 服务 器 指标 。 

@ User 0 Connections : 用 户 连接 数 ,也 就 是 数据 库 的 连接 数量 ; 

@ Number of deadlocks: 数据 库 死 锁 ; 

@ Butter Cache hit: 数据 库 Cache 的 命中 情况 。 

(4) 客户 端 监 控 指标 。 

CD Response time: 事务 响应 时 间 ; 
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@ Transaction Per Second: 每 秒 事 务 处 理 数 。 
2. 性 能 分 析 


性 能 分 析 是 通过 性 能 指标 的 表现 形式 来 分 析 性 能 是 否 稳 定 。 例 如 : 

(1) 响应 时 间 是 否 符合 性 能 预期 ,表现 是 否 稳定 。 

(2) 应 用 日 志 中 ,超时 的 概率 是 否 在 可 接受 的 范围 之 内 。 

(3) TPS 维持 在 多 大 的 范围 内 ,是 否 有 波形 出 现 ,标准 差 有 多 少 ,是 否 符合 预期 。 
(4) 服务 器 CPU 内存 .load 是 否 在 合理 的 范围 内 。 


3. 分 析 工 具 


对 于 性 能 指标 可 借助 自动 分 析 工 具 ,统计 出 数据 的 总 体 趋势 。 常 见 的 分 析 工 具 如 下 。 

(1) LoadRunner analysis 分 析 

LoadRunner analysis 是 LoadRunner 的 一 个 部 件 ,用 于 将 运行 过 程 中 所 采集 到 的 数据 
生成 报表 ,主要 用 于 采集 TPS( 每 秒 事务 处 理 数 ) 、 响 应 时 间 、 吞 吐 量 、 服 务 器 资源 使 用 情况 
等 变化 趋势 。 

(2) Memory Analyzer 分 析 

Memory Analyzer 工具 可 以 解析 Jmap dump 出 来 的 内 存 信息 ,查找 是 否 有 内 存 泄 露 。 

(3) nmon analyser 分 析 

nmon analyser 工具 可 以 采集 服务 器 的 资源 信息 , 列 出 CPU、MEM、 网 络 、1/O 等 资源 
指标 的 使 用 情况 。 

(4) MONyog 分 析 

MONyog 是 一 套 客 户 端 主动 收集 MySQL 运行 数据 的 服务 程序 。 通 过 此 工具 能 够 跟 
踪 到 执行 比较 慢 的 SQL 语句 ,并 且 可 以 分 析出 SQL 语句 执行 时 扫描 的 行 数 。 


6.4 性 能 测试 工具 


5.4.1 性 能 测试 工具 引入 


性 能 测试 和 功能 测试 的 侧重 点 是 不 同 的 ,功能 测试 主要 用 于 验证 业务 功能 是 否 正 确 地 
实现 ,而 性 能 测试 是 在 功能 测试 的 基础 上 验证 系统 完成 任务 的 效率 和 可 靠 性 。 性 能 测试 的 
执行 是 基本 功能 的 重复 和 并 发 ,因此 在 性 能 开始 之 前 需要 模拟 多 用 户 ,并 在 性 能 测试 时 监控 指 
标 参数 ,同时 对 测试 结果 数据 进行 分 析 。 这 些 特点 决定 了 性 能 测试 更 适合 通过 工具 来 完成 。 

性 能 测试 工具 需要 解决 的 问题 如 下 。 

(1) 提供 压力 产生 的 手段 ; 

(2) 对 被 测试 的 系统 进行 性 能 监控 ,包括 对 Web 服务 器 ,数据库 服务 器 和 中 间 件 等 ; 

(3) 收集 性 能 测试 过 程 中 的 数据 ,并 进行 分 析 , 有 助 于 测试 人 员 找 出 被 测 系统 的 瓶颈 。 

因此 性 能 测试 工具 一 般 都 具有 下 列 功能 。 

(1) 脚本 功能 : 可 以 通过 录制 的 方式 生成 测试 脚本 ,或 者 由 测试 人 员 开 发 测试 脚本 ; 

(2) 产生 压力 : 能 够 通过 运行 测试 脚本 的 方式 对 被 测试 系统 产生 压力 ; 
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(3) 实时 监控 : 能 够 对 被 测试 系统 进行 性 能 监控 ,获取 各 项 性 能 指标 ; 

(4) 分 析 统计 : 对 收集 的 性 能 测试 结果 数据 进行 分 析 和 统计 ,快速 找 出 瓶 

古人 云 :“ 工 欲 善 其 事 , 必 先 利 其 器 ”, 必 须 选 择 合适 的 测试 工具 ， ep 量 地 完 
成 性 能 测试 。 市 场 上 涌现 出 越 来 越 多 的 性 能 测试 工具 ,一 个 测试 工具 能 否 满足 测试 需求 ,能 
否 达 到 令 人 满意 的 测试 结果 ,是 选择 测试 工具 要 考虑 的 最 基本 的 问题 。 


5.4.2 常见 性 能 测试 工具 
1. HP LoadRunner 


HP LoadRunner 是 一 种 预测 系统 行为 和 性 能 的 负载 测试 工具 ,可 通过 检测 瓶颈 来 预防 
问题 ,并 在 开始 使 用 前 获得 准确 的 端 到 端 系统 性 能 。 

LoadRunner 通过 模拟 成 千 上 万 的 用 户 实施 并 发 负载 及 实时 性 能 监测 的 方式 来 确认 和 
查找 问题 ,LoadRunner 能 够 对 整个 企业 架构 进行 测试 。 通 过 使 用 LoadRunner, 企 业 能 最 大 
限度 地 缩短 测试 时 间 、 优 化 性 能 和 缩短 应 用 系统 的 发 布 周 期 。LoadRunner 是 一 种 适用 于 
各 种 体系 架构 的 自动 负载 测试 工具 , 它 能 预测 系统 行为 并 优化 系统 性 能 。LoadRunner 的 
测试 对 象 是 整个 企业 的 系统 , 它 通 过 模拟 实际 用 户 的 操作 行为 和 实行 实时 性 能 监测 ,来 更 快 
地 查找 和 发 现 问题 。 

LoadRunner 极 具 灵 活性 ,适用 于 各 种 规模 的 组 织 和 项 目 ,支持 广泛 的 协议 和 技术 ,可 
测试 一 系列 应 用 ,其 中 包括 移动 应 用 、Ajax、Flex、.HTML 5.、. NET、Java、GWT ,Silverlight、 
SOAP .Citrix、ERP 等 。 

LoadRunner 的 组 件 很 多 ,其 核心 的 组 件 包括 如 下 几 个 。 

(1) Vuser Generator(VuGen, 虚 拟 用 户 脚本 生成 器 ) 用 于 捕获 最 终 用 户 业 务 流程 和 创 
建 自动 性 能 测试 脚本 。 

(2) Controller( 控 制 器 ) 用 于 组 织 、 驱 动 .管理 和 监控 负载 测试 。 

(3) Load Generator( 负 载 生成 器 ) 用 于 通过 运行 虚拟 用 户 生 成 负载 。 

(4) Analysis( 分 析 器 ) 有 助 于 查看 .分 析 和 比较 性 能 结果 。 

LoadRunner 的 使 用 请 参考 本 书 第 10 章 的 内 容 和 LoadRunner 使 用 指南 。 

网 站 地 址 : http://www8. hp. com/us/en/software-solutions/loadrunner-load-testing/ 


index. html? 
2. IBM Performance Tester 


IBM® Rational® Performance Tester 是 一 种 用 来 验证 Web 和 服务 器 应 用 程序 可 扩展 性 
的 性 能 测试 解决 方案 。Rational Performance Tester 识别 出 系统 性 能 瓶颈 和 其 存在 的 原 
因 , 并 能 降低 负载 测试 的 复杂 性 

Rational Performance Tester 可 以 快速 执行 性 能 测试 ,分 析 负 载 对 应 用 程序 的 影响 。 
它 具 有 下 列 特点 。 

(1) 无 代码 测试 

能 够 不 通过 编程 就 可 创建 测试 脚本 ,节省 时 间 并 降低 测试 复杂 性 。 通 过 访问 测试 编辑 
器 ,查看 测试 和 事务 信息 的 高 级 别 详细 视图 。 查 看 在 类 似 浏 览 器 窗口 中 显示 并 且 与 测试 编 
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辑 器 集成 的 测试 结果 ,编辑 器 列 出 测试 中 访问 的 网 页 。 

(2) 原因 分 析 工 具 

原因 分 析 工 具 可 以 识别 导致 瓶 颈 发 生 的 源 代 码 和 物理 应 用 层 。 时 序 图 可 跟踪 出 现 瓶 颈 
之 前 发 生 的 所 有 活动 。 可 以 从 被 测试 的 系统 的 任何 一 层 查看 多 资源 统计 信息 ,发现 与 硬件 
有 关 的 导致 性 能 低下 的 瓶颈 。 

(3) 实时 报表 

实时 生成 性 能 和 吞吐 量 报 表 , 在 测试 的 任何 时 间 都 可 及 时 了 解 性 能 问题 。 提 供 多 个 可 
以 在 测试 运行 之 前 .期 间 和 之 后 设置 的 过 滤 和 配置 选项 。 显 示 从 一 次 构建 到 另 一 次 构建 的 
性 能 趋势 。 系 统 性 能 度量 可 帮助 制订 关键 应 用 程序 发 布 决策 。 在 测试 结束 时 ,根据 针对 响 
应 时 间 百 分 比分 布 等 项 目的 报表 执行 更 深入 的 分 析 。 

(4) 测试 数据 

提供 不 同 用 户 群体 的 灵活 建 模 和 仿真 ,同时 把 内 存 和 处 理 器 占用 降 到 最 低 。 提 供电 子 
表格 界面 以 输入 独特 的 数据 ,或 者 可 以 从 任何 基于 文本 的 源 导入 预先 存在 的 数据 。 允 许 在 
执行 测试 中 插入 定制 Java 代码 ,以 便 执行 高 级 数据 分 析 和 请 求 语法 分 析 等 活动 。 

(5) 载 入 测试 

支持 针对 大 范围 应 用 程序 (如 HTTP、SAP、Siebel、SIP、TCP Socket 和 Citrix) 进 行 负 
载 测试 。 支 持 从 远程 机 器 使 用 执行 代理 测试 用 户 负载 。 提 供 灵活 的 图 形 化 测试 调度 程序 ， 
可 以 按 用 户 组 比例 来 指定 负载 。 支 持 自动 数据 关系 管理 来 识别 和 维护 用 于 精确 负载 模拟 的 
应 用 程序 数据 关系 。 

网 站 地 址 : http://www-03. ibm. com/software/products/zh/performance 


3. Radview WebLOAD 


WebLOAD 是 Radview 公司 推出 的 一 个 性 能 测试 和 分 析 工 具 , 通 过 模拟 真实 用 户 的 操 
作 , 生 成 压力 负载 来 测试 Web 的 性 能 。WebLOAD 可 用 于 测试 性 能 和 伸缩 性 ,也 可 用 于 正 
确 性 验证 。 

WebLOAD 可 以 同时 模拟 多 个 终端 用 户 的 行为 ,对 Web 站 点 、 中 间 件 、 应 用 程序 ,以 及 
后 台数 据 库 进行 测试 。WebLOAD 在 模拟 用 户 行为 时 ,不 仅仅 可 以 复 现 用 户 鼠 标 单 击 、 键 
盘 输 入 等 动作 ,还 可 以 对 动态 Web 页 面 根 据 用 户 行为 而 显示 的 不 同 内 容 进 行 验证 ,达到 交 
互 式 测试 的 目的 。 执 行 测试 后 , WebLOAD 可 以 提供 数据 详尽 的 测试 结果 分 析 报 告 ,以 帮 
助 判定 Web 应 用 的 性 能 并 诊断 测试 过 程 中 遇 到 的 问题 。 

WebLOAD 的 测试 脚本 是 用 Javascript( 和 集成 的 COM/Java 对 象 ) 编写 的 ,并 支持 多 
种 协议 ,如 Web、SOAP/XML 及 其 他 可 从 脚本 调用 的 协议 如 FTP、SMTP 等 ,因而 可 从 所 
有 层面 对 应 用 程序 进行 测试 。 

网 站 地 址 : http://www. radview. com/product/Product. aspx 


4. Borland Silk Performer 


Borland Silk Performer 是 业界 领先 的 企业 级 负载 测试 工具 。 它 通过 模仿 成 千 上 万 的 
用 户 在 多 协议 和 多 计算 的 环境 下 工作 ,对 系统 整体 性 能 进行 测试 ,提供 符合 SLA 协议 的 系 
统 整 体 性 能 的 完整 描述 。 
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Silk Performer 提供 了 在 广泛 的 、 多 样 的 状况 下 对 电子 商务 应 用 进行 弹性 负载 测试 的 
能 力 , 通 过 True Scale 技术 ,Silk Performer 可 以 在 一 台 单 独 的 计算 机 上 模拟 成 千 上 万 的 并 
发 用 户 ,在 使 用 最 小 限度 的 硬件 资源 的 情况 下 ,提供 所 需 的 可 视 化 结果 确认 的 功能 。 在 独立 
的 负载 测试 中 ,Silk Performer 允许 用 户 在 多 协议 多 计算 环境 下 工作 ,并 可 以 精确 地 模拟 浏 
览 器 与 Web 应 用 的 交互 作用 。Silk Performer 的 True Log 技术 提供 了 完全 可 视 化 的 原因 
分 析 技 术 。 通 过 这 种 技术 可 以 对 测试 过 程 中 用 户 产 生 和 接收 的 数据 进行 可 视 化 处 理 , 包 括 
全 部 嵌入 的 对 象 和 协议 头 信 息 , 从 而 进行 可 视 化 分 析 , 甚 至 在 应 用 出 现 错误 时 都 可 以 进行 问 
题 定位 与 分 析 。 

Silk Performer 主要 具有 如 下 特点 。 

(1) 精确 的 负载 模拟 特性 : 为 准确 进行 性 能 测试 提供 保障 。 

(2) 功能 强大 : 强大 的 功能 保障 了 对 复杂 应 用 环境 的 支持 。 

(3) 简单 易 用 : 可 以 加 快 测试 周期 ,降低 生成 测试 脚本 错误 的 概率 ,而 不 影响 测试 的 精 
确 度 。 

(4) 根本 原因 分 析 : 有 利于 对 复杂 环境 下 的 性 能 下 降 问 题 进行 深入 分 析 。 

(5) 单 点 控制 : 有 利于 进行 分 布 式 测试 。 

(6) 可 靠 性 与 稳定 性 : 从 工具 本 身 的 稳定 性 方面 保证 对 企业 级 大 型 应 用 的 测试 顺利 进行 。 

(7) 团队 测试 : 保证 对 大 型 测试 项 目的 顺利 进行 。 

(8) 与 其 他 产品 紧密 集成 : 同 其 他 产品 集成 ,增强 Silk Performer 的 功能 扩展 。 

Silk Performer 提供 了 简便 的 操作 向 导 , 通 过 9 步 操作 , 即 可 完成 负载 测试 ,步骤 如 下 。 

(1) Project out Line: 对 负载 测试 项 目 进行 基本 设置 ,如 项 目 信息 、 通 信 类 别 等 。 

(2) Test Script Creation: 通过 录制 的 方式 产生 脚本 文件 ,用 于 日 后 进行 虚拟 测试 。 

(3) Test Script Try-out: 对 录制 产生 的 脚本 文件 进行 试 运行 ,并 配合 使 用 True Log 进 
行 脚本 纠 错 ,确保 能 够 准确 再 现 客户 端 与 服务 器 端的 交互 。 

(4) Test Script Customization: 为 测试 脚本 分 配 测试 数据 。 确 保 在 实际 测试 过 程 中 测 
试 数据 的 正确 使 用 ,同时 可 配合 使 用 True Log, 在 脚本 中 加 入 Session 控制 和 内 容 校 验 的 
功能 。 

(5) Test Baseline Establishment: 确定 被 测 应 用 在 单 用 户 下 的 理想 性 能 基准 线 。 这 些 
基准 将 作为 全 负载 下 产生 并 发 用 户 数 和 时 间 计 数 器 半 值 的 计算 基础 。 在 确定 Baseline 的 同 
时 ,也 是 对 步 又 (4) 中 修改 的 脚本 文件 进行 运行 验证 。 

(6) Test Baseline Confirmation: 对 Baseline 建立 过 程 中 产生 的 报告 进行 检查 ,确认 所 
定义 的 Baseline 确实 反映 了 所 希望 的 性 能 。 

(7) Load Test Workload Specification: 指定 负载 产生 方式 。 

(8) Load Test Execution: 在 全 负载 方式 下 ,使 用 全 部 Agent', 进 行 真实 的 负载 测试 。 

(9) Test Result Exploration: 测试 结果 分 析 。 

网 站 地 址 : http://www. borland. com/products/silkperformer 


5. QALoad 


QALoad 是 Compuware 公司 性 能 测试 工具 套件 中 的 压力 负载 工具 。QALoad 是 客户 / 
服务 器 系统 、 企 业 资 源 配置 (ERP) 和 电子 商务 应 用 的 自动 化 负载 测试 工具 。QALoad 通过 
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可 重复 的 、 真 实 的 测试 能 够 全 面 度量 应 用 的 可 扩展 性 和 性 能 。 它 可 以 模拟 成 百 上 千 的 用 户 
并 发 执行 关键 业务 而 完成 对 应 用 程序 的 测试 .并 针对 所 发 现 问题 对 系统 性 能 进行 优化 ,确保 
应 用 的 成 功 部 署 。QALoad 可 预测 系统 性 能 ,通过 重复 测试 寻找 瓶颈 问题 ,从 控制 中 心 管理 
全 局 负载 测试 ,验证 应 用 的 可 扩展 性 ,快速 创建 仿真 的 负载 测试 。 

QALoad 支持 的 范围 广 , 测 试 的 内 容 多 ,可 以 帮助 软件 测试 人 员 、 开 发 人 员 和 系统 管理 
人 员 对 于 分 布 式 的 应 用 执行 有 效 的 负载 测试 。QALoad 支持 的 协议 包括 ODBC, DB2， 
ADO,ORACLE, Sybase, MS SQL Server, QARun,SAP, Tuxedo, Uniface, Java, WinSock, 
IIOP,WWW,WAP,Net Load,Telnet 等 。 

QALoad 从 产品 组 成 来 说 ,分 为 4 个 部 分 : Script Development Workbench、Conductor、 
Player、Analyze。 

(1) Script Development Workbench 可 以 看 作 是 录制 .编辑 脚本 的 IDE。 录 制 的 动作 序 
列 最 终 可 以 转换 为 一 个 . cpp 文件 。 

(2) Conductor 控制 所 有 的 测试 行为 ,如 设置 session 描述 文件 ,初始 化 并 且 监 测 测试 ， 
生成 报告 并 且 分 析 测 试 结果 。 

(3) Player 是 一 个 Agent, 一 个 运行 测试 的 Agent, 可 以 部 属 在 网 络 上 的 多 台 机 器 上 。 

(4) Analyze 是 测试 结果 的 分 析 器 。 它 可 以 把 测试 结果 的 各 个 方面 展现 出 来 。 

网 站 地 址 : http://www. empirix. com 


6. Web Application Stress 


Microsoft Web Application Stress( 简 称 WAS) 是 由 微软 的 网 站 测试 人 员 所 开发 ,专门 
用 来 进行 实际 网 站 压力 测试 的 一 套 工 具 。 通 过 WAS, 可 以 使 用 少量 的 客户 端 计 算 机 模拟 大 
量 并 发 用 户 同时 访问 服务 器 ,以 获得 服务 器 的 承受 能 力 , 及 时 发 现 服务 器 能 承受 多 大 压力 负 
载 ,以 便 及 时 采取 相应 的 措施 防范 。 

WAS 的 优点 是 简单 易 用 。WAS 可 以 用 如 下 不 同 的 方式 创建 测试 脚本 。 

(1) 通过 记录 浏览 器 的 活动 来 录制 脚本 ; 

(2) 通过 导入 IIS 日 志 ; 

(3) 通过 把 WAS 指向 Web 网 站 的 内 容 ; 

(4) 手工 地 输入 URL 来 创建 一 个 新 的 测试 脚本 。 

除 易 用 性 外 ,WAS 还 有 很 多 有 用 的 特性 ,包括 : 

(1) 对 于 需要 署名 登录 的 网 站 ,允许 创建 用 户 账 号 ; 

(2) 允许 为 每 个 用 户 存 储 cookies 和 Active Server Pages (ASP) 的 session 信息 ; 

(3) 支持 随机 的 或 顺序 的 数据 集 , 以 用 在 特定 的 名 字 - 值 对 ; 

(4) 支持 带宽 调节 和 随机 延迟 以 更 真实 地 模拟 显示 情形 ; 

(5) 支持 Secure Sockets Layer (SSL) 协 议 ; 

(6) 允许 URL 分 组 和 对 每 组 的 点 击 率 的 说 明 ; 

(7) 提供 一 个 对 象 模型 ,可 以 通过 Microsoft Visual Basic Scripting Edition (VBScript) 
处 理 或 者 通过 定制 编程 来 达到 开启 .结束 和 配置 测试 脚本 的 效果 。 
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7. Apache JMeter 


Apache JMeter 是 Apache 组 织 的 开放 源 代码 项 目 , 是 一 个 100% 纯 Java 桌面 应 用 ,用 
于 压力 测试 和 性 能 测量 。JMeter 可 以 用 于 测试 静态 或 者 动态 资源 的 性 能 ,例如 文件 、 
Servlet Perl 脚本 Java 对 象 数据库 和 查询 .FTP 服务 器 等 。JMeter 可 以 用 于 对 服务 器 、 
网 络 或 对 象 模拟 巨大 的 负载 ,用 于 不 同 压力 类 别 下 测试 系统 的 强度 和 分 析 整 体 性 能 。 另 外 ， 
JMeter 能 够 对 应 用 程序 做 功能 /回归 测试 ,通过 创建 带 有 断言 的 脚本 来 验证 程序 是 否 返 回 
期 望 的 结果 。 为 了 达到 最 大 限度 的 灵活 性 ,JMeter 允许 使 用 正则 表达 式 创建 断言 。 

JMeter 的 功能 特性 如 下 。 

(1) 能 够 对 HTTP 和 FTP 服务 器 进行 压力 和 性 能 测试 ,也 可 以 对 任何 数据 库 进行 同 
样 的 测试 。 

(2) 完全 的 可 移植 性 和 100% 纯 Java。 

(3) 完全 Swing 和 轻 量 组 件 支 持 ( 预 编译 的 JAR 使 用 javax. swing. * ) 包 。 

(4) 完全 多 线程 。 框 架 允 许 通 过 多 个 线程 并 发 取样 和 通过 单独 的 线程 组 对 不 同 的 功能 
同时 取样 。 

(5) 精心 的 GUI 设计 允许 快速 操作 和 更 精确 的 计时 。 

(6) 缓存 和 离线 分 析 / 回 放 测 试 结果 。 

网 站 地 址 : http://jakarta. apache. org/jmeter/usermanual/index. html 


8. OpenSTA 


OpenSTA 是 专用 于 B/S 结构 的 、 免 费 的 性 能 测试 工具 。 它 的 优点 除了 免费 、 源 代码 开 
放 外 ,还 能 对 录制 的 测试 脚本 按 指定 的 语法 进行 编辑 。 测 试 工程 师 在 录制 完 测试 脚本 后 ,只 
需要 了 解 该 脚本 语言 的 特定 语法 知识 ,就 可 以 对 测试 脚本 进行 编辑 ,以 便 再 次 执行 性 能 测试 
时 获得 所 需要 的 参数 ,之 后 进行 特定 的 性 能 指标 分 析 。 

OpenSTA 是 基于 Common Object Request Broker Architecture (CORBA) 的 结构 体 
系 。 它 是 通过 虚拟 一 个 proxy, 使 用 其 专用 的 脚本 控制 语言 ,记录 通过 proxy 的 一 切 
HTTP/S traffic 。 

OpenSTA 以 最 简单 的 方式 让 大 家 对 性 能 测试 的 原理 有 较 深 的 了 解 , 其 较为 丰富 的 图 
形 化 测试 结果 大 大 提高 了 测试 报告 的 可 阅读 性 。 测 试 工程 师 通过 分 析 OpenSTA 的 性 能 指 
标 收集 器 收集 的 各 项 性 能 指标 ,以 及 HTTP 数据 ,对 被 测试 系统 的 性 能 进行 分 析 。 

使 用 OpenSTA 进行 测试 ,包括 三 个 方面 的 内 容 : 首先 录制 测试 脚本 ,然后 定制 性 能 采 
集 器 ,最 后 把 测试 脚本 和 性 能 采集 器 组 合 起 来 ,组 成 一 个 测试 案例 ,通过 运行 该 测试 案例 , 获 
取 该 测试 内 容 的 相关 数据 。 

网 站 地 址 : http://www. opensta. org/download. html 


G3 本 章 小 结 


Web 应 用 系统 拥有 大 量 的 用 户 群 ,并 为 大 量 用 户 提 供 对 Web 资源 的 跨 平台 访问 ,运行 
的 实时 性 要 求 较 高 ,网 页 的 运行 速度 、 查 询 速 度 和 下 载 时 间 等 性 能 需要 进行 测试 。 
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本 章 介绍 了 性 能 测试 的 概念 ,目的 和 类 型 ,以 及 性 能 测试 用 例 模 型 。 进 行 性 能 测试 时 需 
要 按照 性 能 测试 的 流程 来 开展 性 能 测试 ,其 中 包括 确定 性 能 测试 目标 、 制 定 测试 计划 ,建立 
测试 环境 、 设 计 测试 .执行 测试 ,分 析 测 试 结果 ,撰写 测试 报告 等 。 执 行 性 能 测试 过 程 中 , 需 
要 监测 和 收集 系统 的 性 能 测试 数据 ,测试 结束 后 需要 综合 分 析 性 能 数据 ,评估 系统 性 能 , 定 
位 系统 性 能 缺陷 ,提出 系统 调 优 建议 。 由 于 性 能 测试 的 特殊 性 ,性 能 测试 一 般 借助 于 性 能 测 
试 工具 来 开展 。 
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@.1 Web 应 用 安全 基础 


6.1.1 Web 应 用 程序 安全 


随 着 互联 网 技术 的 迅猛 发 展 ,Web 服务 与 应 用 已 经 成 为 引领 网 络 发 展 的 内 在 推动 力 。 
从 Web 邮件 ,购物 ,媒体 ,金融 服务 到 社交 网 络 , Web 应 用 渗入 到 每 个 人 的 日 常生 活 , 扮 演 
着 网 络 信息 服务 中 最 重要 的 角色 ,同时 它 也 成 为 与 国际 民生 息息相关 的 重要 的 信息 和 数据 
集结 地 和 存储 库 。 重 要 的 信息 一 旦 遭 到 安全 威胁 和 攻击 破坏 ,可 能 会 带 来 难以 估计 的 财产 
损失 甚至 是 生命 代价 。 由 于 Web 技术 的 飞速 演进 , Web 相关 应 用 的 复杂 度 急剧 增加 ,各 种 
类 型 的 安全 漏洞 不 断 涌现 ,而 且 Web 服务 所 承载 的 重要 信息 也 吸引 了 越 来 越 多 的 攻击 者 对 
安全 漏洞 发 起 更 猛烈 的 攻击 ,其 攻击 手段 也 日 趋 隐蔽 和 精巧 ,给 Web 开发 和 测试 带 来 巨大 
的 压力 。 

由 于 Web 应 用 与 其 运行 环境 (包括 硬件 .软件 ,中间 件 .网 络 等 ) 紧 密 地 交织 在 一 起 ， 
Web 安全 性 除了 Web 应 用 本 身 的 安全 性 以 外 ,还 包括 运行 环境 的 安全 性 。 


6.1.2 Web 应 用 安全 体系 


Web 安全 是 一 个 系统 问题 ,包括 Web 服务 器 安全 、Web 应 用 服务 器 安全 、Web 应 用 程 
序 安全 ,数据 传输 安全 和 客户 接收 端的 安全 。 在 Web 应 用 的 各 个 层面 ,企业 都 会 使 用 不 同 
的 技术 来 确保 安全 性 。 为 了 保护 客户 端 机 器 的 安全 ,用 户 会 安装 防 病毒 软件 。 为 了 保证 用 
户 数据 传输 到 企业 Web 服务 器 的 传输 安全 ,通信 层 通常 会 使 用 SSL( 安 全 套 接 字 ) 技 术 加 密 
数据 。 为 了 阻止 不 必要 的 端口 暴露 和 非法 访问 ,企业 会 使 用 防火 墙 和 IDS( 入 侵 诊 断 系统 ) 
或 IPS( 入 侵 防御 系统 )。 为 了 保证 只 允许 特定 用 户 访问 ,企业 会 使 用 身份 认证 机 制 授 权 用 
户 访问 Web 应 用 。 然 而 ,网 络 的 规模 和 复杂 性 使 Web 安全 问题 比 通常 意义 上 的 Internet 
的 安全 问题 更 为 复杂 。 

目前 的 Web 安全 主要 分 为 以 下 三 个 方面 。 

(1) 保护 Web 服务 器 及 其 数据 的 安全 。 

必须 保证 服务 器 能 够 持续 运行 .保证 只 有 经 过 授权 才能 修改 服务 器 上 的 信息 ,保证 能 够 
把 数据 发 送 给 指定 的 接收 者 。 

(2) 保护 Web 服务 器 和 用 户 之 间 传 递 的 信息 的 安全 。 
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必须 确保 用 户 提供 给 Web 服务 器 的 信息 (用 户 名 、 密 码 、 财 务 信息 、 访 问 的 网 页 名 称 等 
不 被 第 三 方 所 阅读 ,修改 和 破坏 。 对 从 Web 服务 器 端 发 送 给 用 户 的 信息 要 加 以 保护 。 保 护 
用 户 与 服务 器 之 间 的 链 路 ,使 得 攻击 者 不 能 轻易 地 破坏 链 路 。 

(3) 保护 Web 客户 端 及 其 环境 安全 。 

用 户 需 要 使 用 Web 浏览 器 和 安全 计算 平台 上 的 软件 ,保证 所 使 用 的 软件 不 会 被 病毒 感 
染 或 被 恶意 程序 破坏 。 用 户 还 需要 保护 自己 的 隐私 和 私人 信息 ,确保 它们 无 论 是 在 自己 的 
计算 机 上 还 是 通过 在 线 服务 时 都 不 会 遭 到 取 或 破坏 。 

Web 应 用 程序 安全 框架 如 图 6-1 所 示 。 客 户 端 ,用 户 安装 杀毒 软件 和 防火 墙 进行 安全 
防护 。 信 息 在 网 络 上 进行 传输 的 过 程 中 ,通过 数据 加 密 技 术 防止 信息 暴露 。 服 务 器 端 , 通 过 
防火 墙 .IDS 入 侵 诊 断 和 IPS 入 侵 检测 等 技术 来 阻止 攻击 者 破坏 Web 应 用 程序 。 


= : RN 
tf — < 


和 防火 墙 
IDS 入 侵 诊断 各 类 应 用 


防 病毒 数据 加 密 IPS 入 侵 检测 服务 


用 户 传输 网 络 Web 应 用 


图 6-1 Web 应 用 程序 安全 框架 


6.1.3 Web 应 用 十 大 漏洞 


随 着 Web 应 用 技术 的 发 展 , Web 应 用 程序 会 带 来 一 系列 新 的 安全 方面 的 漏洞 。 为 了 
更 有 效 地 研究 和 分 析 Web 应 用 程序 安全 问题 ,人 们 对 大 量 的 Web 应 用 程序 漏洞 和 风险 进 
行 了 有 意义 的 分 类 ,根据 对 其 认 知 和 处 理 角度 的 不 同 ,给 出 了 一 些 有 效 的 分 类 方法 。 

Web 应 用 程序 安全 的 权威 组 织 OWASP(Open Web Application Security Program) 通 
过 对 各 类 Web 应 用 程序 安全 问题 的 威胁 代理 者 、 攻 击 载体 、 漏 洞 普及 度 、 漏 洞 可 侦查 度 、 技 
术 影 响 和 业务 影响 等 诸多 指标 的 综合 分 析 , 给 出 十 大 应 用 程序 漏洞 ,并 且 每 隔 三 年 更 新 一 
次 。 目 前 已 经 有 2004 年 .2007 年 .2010 年 .2013 年 4 个 版 本 。2010 年 前 的 版 本 关注 “最 常 
见 漏 洞 ”, 之 后 关注 “最 严重 的 风险 ”。 风 险 评 估 要 素 有 下 列 几 个 方面 。 

(1) 漏洞 : 发 现 难 易 程 度 、 利 用 难 易 程度 、 知 名 度 、 入 侵 检测 难 易 程 度 ; 

(2) 技术 影响 : 对 机 密 性 、 完 整 性 、 可 用 性 、 可 追溯 性 的 破坏 程度 ; 

(3) 业务 影响 : 对 机 构 财 务 、 信 誉 .违规 行为 ,隐私 侵犯 的 破坏 程度 。 

2013 年 十 大 应 用 程序 漏洞 (2013 RC1 版 ) 分 别 如 下 。 

Al. 注 入 : Injection; 

A2. 失 效 的 认证 和 会 话 管理 : Broken Authentication and Session Management; 

A3. 跨 站 脚本 攻击 : Cross Site Scripting (XSS); 

A4. 不 安全 的 直接 对 象 引 用 : Insecure Direct Object References; 
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A5. 安全 配置 错误 : Security Misconfiguration; 

A6. 敏感 数据 泄露 : Sensitive Data Exposure; 

A7. 功能 级 访问 控制 缺失 : Missing Function Level Access Control; 
A8. 跨 站 请 求 伪 造 : Cross-Site Request Forgery(CSRF); 

A9. 使 用 含有 已 知 漏洞 的 组 件 : Using Known Vulnerable Components; 
Al10. 未 验证 的 重 定向 和 转发 : Unvalidated Redirects and Forwards。 
2010 年 与 2013 年 十 大 应 用 程序 漏洞 对 比 情况 见 表 6-1。 


表 6-1 2010 年 和 2013 年 十 大 应 用 程序 漏洞 


OWASP Top 10 - 2010 (Previous) OWASP Top 10 - 2013 (New) 
Al - Injection Al - Injection 
A3 - Broken Authentication and Session A2 - Broken Authentication and Session 
Management Management 
A2 - Cross-Site Scripting (XSS) A3 - Cross-Site Scripting (XSS) 
A4 - Insecure Direct Object References A4 - Insecure Direct Object References 
Al6 - Security Misconfiguration A5 - Security Misconfiguration 
A7 - Insecure Cryptographic Storage - Merged with A6 - Sensitive Data Exposure 
A9 一 
A8 - Failure to Restrict URL Access - Broadened A?7 - Missing Function Level Access Control 
into 一 
A5 - Cross-site Redirects Forgery (CSRF) A8 - Cross-Site Request Forgery (CSRF) 
buried in A6; Security Misconfiguration> A9 - Using Known Vulnerable Components 
Al0 - Unvalidated Redirects and Forwards Al0 - Unvalidated Redirects and Forwards 
A9 - Insufficient Transport Layer Protection Merged with 2010-A7into new 2013-A6 
Al: 注入 
1 漏洞 产生 原因 


常常 是 应 用 程序 缺少 对 输入 进行 安全 性 检查 所 引起 的 ,攻击 者 把 一 些 包含 指令 的 数据 
发 送 给 解释 器 ,解释 器 会 把 收 到 的 数据 转换 成 指令 执行 。 所 有 解释 性 语言 都 有 可 能 被 攻击 。 
注入 缺陷 非常 流行 ,特别 在 以 前 的 代码 中 。 在 SQL 查询 语句 、 目 录 访 问 协议 .路 径 查 询 系统 
命令 .XML 前 析 器 程序 声明 中 经 常 发 现 这 种 缺陷 。 

注入 类 型 包括 SQL 注入 、XPATH 注入 、LDAP 注入 、OS 命令 注入 等 。 

2. 风险 分 析 

注入 缺陷 能 导致 数据 丢失 崩溃、 无 法 解释 .访问 拒绝 。 注 入 漏洞 有 时 甚至 能 导致 攻击 
者 完全 接管 主机 ,所 有 的 数据 可 以 被 窃取 、 被 修改 或 者 被 删除 。 

3. 如 何 阻止 注入 

阻止 注入 需要 保证 不 信任 的 数据 与 命令 和 查询 分 离 。 

(1) 优先 选择 运用 安全 的 API, 以 避免 完全 运用 解释 器 或 提供 参数 化 的 接口 。 要 对 参 
数 化 的 存储 过 程 小 心 , 即 使 如 此 , 仍 能 引入 注入 。 

(2) 如 果 一 个 参数 化 的 API 无 法 使 用 ,应 该 谨慎 地 使 用 解释 器 特定 的 转移 语法 来 转 义 
特殊 字符 。OWASP 的 ESAPI 提供 许多 这 样 的 例 程 。 
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(3) 建议 对 “ 白 名 单 ” 的 输入 进行 适当 的 规范 化 验证 .但 不 是 一 个 完整 的 防御 ,因为 很 多 


在 输入 时 需要 特殊 字符 。OWASP 的 ESAPI 有 白 名 单 输 入 验证 程序 的 扩展 库 。 
A2: 失效 的 认证 和 会 话 管理 
1. 漏洞 产生 原因 


与 身份 认证 和 会 话 管理 相关 的 应 用 程序 功能 在 实现 中 有 漏洞 ,导致 攻击 者 可 冒充 其 他 


用 户 的 身份 访问 业务 系统 。 攻 击 者 使 用 用 户 认 证 或 会 话 管理 功能 的 缺陷 (例如 暴露 的 账号 、 
密码 ,会话 ID .实施 漏洞 ) 来 冒充 其 他 用 户 身份 。 这 种 漏洞 既 存 在 于 Web 应 用 系统 开发 过 
程 中 ,也 存在 于 Web 应 用 服务 器 的 配置 中 。 开 发 人 员 常 常 建立 自 定义 的 认证 和 会 话 管理 计 
划 , 这 些 自 定义 计划 常常 在 退出 、 记 忆 、 密 码 管理 、 超 时、 账户 更 新 等 领域 出 现 漏 洞 。 因 为 每 
一 种 实现 都 是 独特 的 ,所 以 寻找 这 些 漏 洞 常常 会 非常 困难 。 


2. 风险 分 析 


这 些 漏洞 将 导致 一 些 甚至 所 有 的 账户 被 攻击 。 一 旦 攻击 成 功 ,攻击 者 可 以 执行 合法 用 


户 的 任何 操作 。 因 此 对 特权 帐户 会 造成 更 大 的 破坏 。 


3. 如何 防止 失效 的 认证 和 会 话 管理 

防范 失效 的 身份 验证 可 以 从 下 面 几 个 方面 考虑 。 
(1) 登录 页 面 出 错时 不 要 给 出 太 多 提示 ; 

(2) 不 使 用 简单 的 或 可 预期 的 密码 恢复 问题 ; 

(3) 对 多 次 登录 失败 的 账号 进行 短期 锁定 ; 

(4) 登录 页 面 需 要 加 密 ; 

(5) 采用 多 因子 身份 验证 机 制 。 

防范 失效 的 会 话 管理 可 以 从 下 面 几 个 方面 考虑 。 
(1) 用 户 登 录 成 功 后 ,创建 一 个 新 Session; 

(2) 采用 强 随 机 数 算法 生成 Session ID; 

(3) 设置 会 话 过 期 机 制 ; 

(4) 设置 Cookie 的 secure 属性 和 HttpOnly 属性 ; 
(5) 不 在 返回 URL 中 显示 Session ID; 

(6) 提供 logout 功能 。 

网 关 防 御 的 措施 是 : 

(1) 阻止 同一 用 户 对 登录 验证 页 面 的 短期 高 频 访问 。 
(2) 阻止 同一 Session 在 不 同 地 址 登录 。 

A3: 跨 站 脚本 

1. 漏洞 产生 原因 


跨 站 脚本 攻击 指 攻击 者 向 目标 翻译 器 发 送 简单 文本 格式 来 扰乱 它 的 语法 。 最 常见 的 是 
攻击 者 向 Web 页 面 里 插入 恶意 脚本 , 当 受 害 者 浏览 该 Web 页 时 ,嵌入 其 中 的 恶意 代码 会 被 


受害 者 Web 客户 端 执 行 ,达到 攻击 目的 。XSS 在 Web 应 用 中 是 最 常见 的 安全 漏洞 。 


跨 站 脚本 攻击 有 三 种 : 存储 式 、 反 射 式 和 基于 DOM。 反 射 式 跨 站 脚本 通过 测试 或 代码 


分 析 很 容易 找到 。 


(1) 存储 式 XSS(Store-based XSS) 


攻击 者 将 攻击 脚本 上 传 到 Web 服务 器 上 ,使 得 所 有 访问 该 页 面 的 用 户 都 面临 信息 泄露 
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的 可 能 ,其 中 也 包括 Web 服务 器 的 管理 员 。 

(2) 反射 式 XSS(Reflect-based XSS) 

Web 客户 端 使 用 Server 端 脚本 生成 页 面 为 用 户 提供 数据 时 ,如 果 未 经 验证 的 用 户 数据 
被 包含 在 页 面 中 而 未 经 HTML 实体 编码 ,客户 端 代 码 便 能 够 注入 到 动态 页 面 中 。 

(3) 基于 DOM 的 XSS(DOM-based XSS) 

客户 端的 脚本 程序 可 以 通过 DOM 动态 地 检查 和 修改 页 面 内 容 , 它 不 依赖 于 提交 数据 
到 服务 器 端 ,而 从 客户 端 获 得 DOM 中 的 数据 在 本 地 执行 ,如 果 DOM 中 的 数据 没有 经 过 严 
格 确认 ,就 会 产生 DOM-Based XSS 漏洞 。 

2. XSS 风险 分 析 

攻击 者 能 在 受害 者 浏览 器 上 执行 脚本 来 动 持 用 户 会 话 、 修 改 网 站 内 容 、 泄 露 页 面 中 的 敏 
感 信 息 、 潜 入 恶意 文本 、 重 定向 用 户 到 其 他 网 页 或 网 站 、 以 被 攻击 者 的 身份 执行 管理 操作 ,在 
网 页 挂 木马 操作 、 为 其 他 类 型 的 攻击 (如 CSRF 、Session Attack) 做 准备 等 。 

3. 如 何 阻止 XSS 攻击 

阻止 XSS 攻击 ,需要 保证 不 信任 的 数据 和 动态 浏览 器 内 容 相 分 离 。 

(1) 最 佳 选 择 是 分 离 所 有 被 写 人 的 基于 HTML 的 不 可 信和 数据 。 可 以 从 OWASP XSS 
Prevention Cheat Sheet 获得 更 多 需要 数据 分 离 技术 的 细节 。 

(2) 对 “ 正 ” 和 * 白 名 单 ” 的 输入 进行 适当 的 规范 化 验证 ,但 不 是 完整 的 防御 来 抵御 XSS 
攻击 ,因为 很 多 应 用 在 它们 的 输入 中 需要 特殊 字符 。 这 样 的 验证 应 该 尽 可 能 验证 之 前 接受 
输入 的 长 度 .字符 格式 .数据 和 业务 规则 。 

(3) 想 要 更 丰富 的 内 容 , 可 以 靠 OWASP 的 AntiSamy 自动 消毒 库 。 

A4: 不 安全 的 直接 对 象 引 用 

1. 漏洞 产生 原因 

开发 者 将 文件 .路径 .数据库 记 录 或 者 Key 作为 URL 或 表单 的 一 部 分 ,暴露 给 用 户 一 
个 引用 ,导致 攻击 者 能 够 操作 直接 对 象 , 访 问 一 些 他 本 来 没有 权限 访问 的 其 他 对 象 。 

为 了 能 更 容易 理解 什么 是 不 安全 的 对 象 直接 引用 .请 看 如 下 的 一 个 示例 。 

攻击 者 发 现 查看 自身 信息 的 链接 地 址 为 http:// example. com /userinfo. do7ID 一 2。 
攻击 者 构造 新 的 链接 http:// example. com/userinfo. do?ID 二 3 查看 其 他 用 户 信息 ,这 样 他 
就 可 以 直接 看 到 更 多 他 无 权限 看 到 的 信息 。 

2. 风险 分 析 

不 安全 的 直接 对 象 引 用 漏洞 会 使 所 有 被 参数 引用 的 数据 陷入 危险 。 攻 击 者 可 以 很 容易 
地 访问 该 数据 类 型 的 所 有 可 用 数据 。 

3. 如 何 防范 不 安全 的 直接 引用 对 象 

防范 不 安全 直接 引用 对 象 访问 的 风险 漏洞 可 以 从 以 下 几 个 方面 考虑 。 

(1) 避免 在 URL 或 网 页 中 直接 引用 内 部 文件 名 或 数据 库 关键 字 ; 

(2) 可 使 用 自 定义 的 映射 名 称 来 取代 直接 对 象 名 ; 

(3) 使 映射 ID 变 得 稀 朴 .难以 猜测 ; 

(4) 锁定 网 站 服务 器 上 的 所 有 目录 和 文件 夹 ,设置 访问 权限 ; 

(5) 验证 用 户 输入 和 URL 请 求 ,拒绝 包含 . /或 . . /的 请 求 ; 

(6) 网 关 防 御 的 措施 是 阻止 同一 用 户 对 同一 HTTP 模板 的 短期 高 频 访问 ,尤其 是 服务 
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器 返回 404 错误 时 。 

测试 时 可 以 通过 操纵 参数 值 来 检测 这 种 缺陷 ,并 可 以 通过 代码 分 析 快 速 地 验证 用 户 是 
否 被 正确 授权 。 

A5: 安全 配置 错误 

1. 漏洞 产生 原因 

由 于 管理 员 在 服务 器 安全 配置 上 的 朴 忽 ,通常 会 导致 攻击 者 非法 获取 信息 、 算 改 内 容 ， 
甚至 控制 整个 系统 。 攻 击 者 通过 访问 默认 的 账户 .没有 用 过 的 页 .未 打 补丁 的 漏洞 ,不 受 保 
护 的 文件 和 目录 等 ,来 得 到 未 经 授权 的 访问 权限 或 者 系统 的 信息 。 

安全 配置 错误 可 以 发 生 在 任何 级 别 的 应 用 程序 堆栈 ,包括 平台 、Web 服务 器 .应 用 服务 
器 ,框架 和 自 定义 代码 。 开 发 人 员 和 网 络 管理 员 都 需要 共同 努力 ,以 确保 整个 栈 被 合理 地 配 
置 。 自 动 扫描 仪 可 用 于 检测 遗漏 的 补丁 、 错 误 配 置 . 使 用 默认 账户 不 必要 的 服务 等 。 

不 正确 的 安全 配置 ,如 Google hacking。 利 用 Google 搜索 ,输入 “index of /ppt”, 将 会 
搜索 出 一 些 网 页 的 链接 。 如 果 网 站 服务 器 设置 不 当 , 会 暴露 整个 目录 ,如 图 6-2 所 示 。 


Index of /ppt 


Name 


2 Parent Directory 
3RDSUMMIT-20090619-Nets/ 09-Jul-2009 14:45 


07-Feb-2007 
A2k-at-Yale-20060422/ 2 
04-Nov-2007 
1920 

自 AWG-20090604-ENCODE/ 07-Jul-2009 03:49 


国 BANBURYCNV-20091117-GenomeAssembly/ pe 


AACR-20071102-GenomeAnnotation/ 


图 6-2 目录 被 暴露 


2. 风险 分 析 

这 些 漏 洞 经 常会 给 予 攻 击 者 对 一 些 系 统 数 据 或 功能 未 经 授予 的 访问 权限 。 有 时 ,这 些 
漏洞 导致 整个 系统 的 损坏 。 整 个 系统 会 在 管理 者 不 知道 的 情况 下 完全 损坏 。 随 着 时 间 的 推 
移 所 有 的 数据 能 被 窃取 或 修改 ,恢复 数据 的 代价 会 很 大 。 

3. 如 何 避 免 安 全 配置 错误 

避免 安全 配置 错误 的 建议 主要 有 以 下 几 点 。 

(1) 一 个 重复 的 加 强 过 程 ,使 其 在 快速 .易于 部 署 的 另 一 个 环境 中 正确 锁定 。 开 发 .QA 
和 生产 环境 都 应 该 配置 相同 。 这 个 过 程 应 该 是 自动 化 的 ,以 建立 一 个 新 的 安全 环境 。 

(2) 跟 上 和 部 署 所 有 新 方法 软件 更 新 和 补丁 ,及 时 更 新 每 个 部 署 的 环境 。 这 需要 包括 
所 有 的 代码 库 ( 见 新 A9) 。 

(3) 一 个 强大 的 应 用 程序 体系 结构 应 提供 良好 的 组 件 之 间 的 隔离 和 安全 。 
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(4) 考虑 运行 扫描 和 做 定期 审计 帮助 检测 未 来 的 错误 配置 或 缺少 的 修补 程序 。 

A6: 敏感 数据 泄露 

1. 漏洞 产生 原因 

对 于 敏感 数据 ,采用 不 安全 的 加 密 方法 .生成 脆弱 的 密 钥 、 密 钥 管理 不 当 等 都 可 能 导致 
敏感 数据 泄露 。 另 外 ,应 用 程序 常常 产生 错误 信息 并 显示 给 使 用 者 ,对 于 攻击 者 而 言 ,这 些 
错误 信息 是 非常 有 用 的 ,因为 它们 揭示 实施 细则 或 提供 有 用 的 开发 信息 。 

攻击 情形 1: 一 个 应 用 程序 使 用 一 个 自动 的 数据 库 加 密 技 术 对 信用 卡号 在 数据 库 中 进 
行 加 密 。 然 而 这 意味 着 在 取 回 的 时 候 会 自动 地 解密 ,允许 一 个 SQL 注入 的 缺陷 在 明文 中 去 
取 回 信用 卡号 。 此 类 系统 应 该 使 用 公共 密 钥 加 密 的 信用 卡号 码 , 并 只 允许 后 端 应 用 程序 对 
其 用 私 钥 解密 。 

攻击 情形 2: 一 个 简单 的 站 点 不 会 对 所 有 的 已 经 验证 过 的 页 面 使 用 SSL。 攻 击 者 仅仅 
监视 网 络 中 的 传输 (例如 一 个 开放 的 无 线 网 络 ) ,窃取 用 户 的 会 话 Cookie, 然 后 重 放 这 个 
Cookie ,劫持 用 户 的 会 话 ,访问 他 们 的 私人 数据 。 

2. 风险 分 析 

敏感 数据 泄露 损害 了 那些 应 该 被 保护 的 数据 。 具 有 代表 性 敏感 数据 有 健康 记录 证书 、 
个 人 数据 .信用卡 等 。 

3. 如 何 防止 敏感 数据 泄露 

不 安全 的 加 密 、SSL 使 用 和 数据 完整 性 保护 的 危险 远 远 超 出 了 前 10 名 。 这 就 是 说 ,对 
于 所 有 敏感 数据 ,至 少 要 做 到 以 下 几 点 。 

(1) 考虑 要 保护 的 数据 的 威胁 来 自 哪 里 (是 内 部 人 员 还 是 外 部 使 用 者 的 攻击 ) ,确保 加 
密 所 有 的 敏感 数据 源 和 传输 中 的 数据 来 抵抗 这 些 威胁 。 

(2) 不 要 存储 不 必要 的 敏感 数据 并 且 尽 快 清除 。 

(3) 确保 使 用 强大 标准 的 加 密 算法 和 密 钥 ,并 且 恰 当 到 位 的 管理 密 钥 。 

(4) 确保 密码 在 存储 时 已 经 被 专门 设计 的 密码 保护 算法 加 密 。 

(5) 禁用 “自动 完成 ”的 形式 收集 敏感 数据 ,并 禁用 缓存 页 面 显 示 敏 感 数据 。 

A7: 功能 级 访问 控制 缺失 

1. 漏洞 产生 原因 

应 用 程序 并 不 总 是 恰当 地 保护 应 用 程序 功能 。 有 时 候 , 通 过 配置 来 管理 保护 的 功能 级 
别 , 有 时 候 系统 配置 是 错误 的 。 有 时 ,开发 商会 忘记 正确 的 代码 检查 。 检 测 这 样 的 缺陷 很 容 
易 , 最 难 的 部 分 是 确定 哪些 网 页 (URLs) 或 者 功能 存在 攻击 。 

2. 风险 分 析 

这 样 的 缺陷 允许 攻击 者 去 访问 未 授权 的 功能 。 管 理 员 权限 的 功能 是 这 类 攻击 的 目标 。 

3. 如 何 防止 非 授权 访问 

应 用 程序 应 该 有 一 致 的 .易于 分 析 的 、 能 被 所 有 的 业务 功能 调用 的 授权 模块 ,通常 情况 
下 ,这 种 保护 是 由 外 部 应 用 程序 代码 的 一 个 或 多 个 组 件 提供 的 。 

(1) 考虑 配额 管理 的 过 程 , 并 确保 管理 过 程 中 可 以 轻松 地 更 新 和 审核 ,不 要 硬 编码 。 

(2) 拒绝 所 有 访问 默认 情况 下 的 强制 执行 机 制 ,需要 明确 授予 特定 角色 所 访问 的 函数 。 

(3) 如 果 是 参与 工作 流 中 的 检查 的 功能 ,确保 所 有 人 允许 访问 的 条 件 都 处 于 正常 状态 。 
注意 : 大 多 数 网 站 应 用 程序 并 没有 执行 链接 和 非 授 权 用 户 功 能 的 按钮 ,但 是 这 种 “组 织 分 层 
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访问 的 控制 ?并 不 会 提供 保护 ,必须 在 控制 器 或 者 业务 逻辑 中 自己 实现 检查 。 

A8: 跨 站 请 求 伪 造 

1. 漏洞 产生 原因 

跨 站 请 求 伪 造 ,通常 缩写 为 CSRF 或 者 XSRF ,是 一 种 对 网 站 的 恶意 利用 。 攻 击 者 构造 
恶意 URL 请 求 ,然后 诱骗 合法 用 户 访问 所 构造 的 URL 链接 ,以 达到 在 Web 应 用 中 以 此 用 
户 权限 执行 特定 操作 的 目的 。 尽 管 听 起 来 像 跨 站 脚本 (XSS) ,但 它 与 XSS 非常 不 同 。XSS 
利用 站 点 内 的 信任 用 户 ,而 CSRF 则 通过 伪装 来 自 受 信任 用 户 的 请 求 来 利用 受信 任 的 网 站 。 
CSRF 中 不 包含 攻击 语句 ,只 是 完成 特定 的 业务 操作 ,因此 更 难 被 检测 。 

2， 风险 分 析 

攻击 者 可 以 以 被 攻击 用 户 的 身份 执行 业务 操作 。 若 被 攻击 者 为 普通 用 户 , 则 危害 用 户 
数据 安全 及 资产 安全 ; 若 被 攻击 者 为 管理 员 , 则 威胁 到 整个 网 站 的 安全 ,如 添加 管理 用 户 、 
执行 特权 操作 等 。 

3. 如 何 防 止 CSRF 攻击 

防止 CSRF 通常 需要 列 人 每 个 HTTP 请 求 中 的 一 个 不 可 预知 的 令 牌 。 这 些 令 牌 ,至 
少 ,每 个 用 户 会 话 应 该 是 唯一 的 。 

(1) 最 佳 选 择 是 独 有 的 令 牌 包含 在 一 个 隐藏 字段 中 ,这 将 使 得 这 些 值 放 在 要 发 送 的 
HTTP 报 文 的 请 求 值 中 ,避免 包含 在 URL 中 (因为 这 样 就 直接 暴露 了 ) 。 

(2) 独特 的 令 牌 也 可 以 包含 在 URL 中 或 URL 参数 中 ,然而 这 种 安排 的 URL 有 暴露 
给 攻击 者 的 风险 ,从 而 损害 秘密 令 牌 。OWASP 的 CSRF 防护 令 牌 可 以 自动 包括 在 Java 
EE、. NET 或 PHP 应 用 程序 中 。OWASP 的 ESAPI 包 括 CSRF 的 方法 ,开发 人 员 可 以 使 用 
它 来 防止 这 种 漏洞 。 

(3) 要 求 用 户 重新 进行 身份 验证 ,证 明 他 们 是 一 个 合法 用 户 ,也 可 以 防止 CSRF。 

A9: 使 用 含有 已 知 漏洞 的 组 件 

1. 漏洞 产生 原因 

几乎 每 个 应 用 程序 都 有 这 些 问题 ,因为 大 多 数 开 发 团队 并 不 注重 确保 其 组 件 保持 更 新 
至 最 新 。 在 许多 情况 下 ,开发 商 甚至 没有 熟悉 知道 他 们 正在 使 用 的 所 有 组 件 , 他 们 从 来 没有 
介意 过 这 些 组 件 的 版 本 。 组 件 之 间 的 依赖 性 将 使 情况 变 得 更 加 糟糕 。 

2.， 风险 分 析 

全 方位 的 弱点 的 出 现 是 可 能 的 ,包括 注入 、 失 效 的 访问 控制 ,XSS 等 。 

3. 如 何 阻 止 此 类 问题 

软件 项 目 中 应 该 做 如 下 事情 。 

(1) 识别 正在 使 用 的 组 件 和 版 本 。 

(2) 监控 这 些 在 公共 数据 库 中 ,项 目的 邮件 列表 以 及 安全 邮件 列表 的 组 件 的 安全 性 ,并 
保持 它们 更 新 到 最 新 。 

(3) 建立 安全 策略 来 管理 组 件 的 使 用 ,如 需要 一 定 的 软件 开发 实践 ,通过 安全 测试 和 可 
接受 的 许可 证 。 

A10: 未 验证 的 重 定向 和 转发 

1. 漏洞 产生 原因 

Web 应 用 程序 将 用 户 重 定向 和 转发 到 其 他 页 面 .但 目标 的 合法 性 未 验证 重 定向 和 跳 转 
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的 风险 。 攻 击 者 利用 用 户 对 合法 网 站 的 信任 ,将 用 户 的 访问 跳 转 到 恶意 站 点 ,而 且 对 跳 转 部 
分 还 可 以 进行 编码 ,其 后 续 操作 还 包括 : 

(1) 利用 伪造 的 登录 页 面 , 偷 取 用 户 的 账号 和 密码 ; 

(2) 跳 转 到 挂 有 木马 的 页 面 ,对 用 户 进行 远程 控制 ; 

(3) 越过 访问 控制 , 跳 转 到 管理 员 界 面 。 

例如 ,应 用 程序 有 一 个 页 面 称 为 redirect. jsp, 它 接受 一 个 名 为 “URL 参数 ”攻击 者 制造 
的 恶意 URL, 将 用 户 重 定向 到 一 个 恶意 网 站 ,进行 网 络 钓鱼 和 安装 恶意 软件 。 网 址 : 
http://www. example. com/redirect. jsp?url= evil. com 

2. 风险 分 析 

这 种 重 定 向 可 能 试图 安装 恶意 软件 或 诱骗 受害 者 泄露 密码 或 其 他 敏感 信息 。 不 安全 的 
转发 可 能 允许 绕 过 访问 控制 。 

3. 如 何 防止 未 验证 的 重 定向 和 转发 

(1) 尽量 避免 使 用 重 定向 和 转发 。 

(2) 如 果 使 用 不 涉及 用 户 参 数 的 计算 目标 ,这 样 通常 是 可 以 的 。 

(3) 如 果 不 能 避免 目标 参数 ,确保 所 提供 的 是 有 效 的 、 授 权 的 用 户 , 建 议 使 用 目标 参数 
映射 值 ,而 不 是 实际 的 URL 或 者 URL 的 一 部 分 ,并 且 该 服务 器 端 代码 可 以 翻译 这 种 映射 
到 目标 URL。 

避免 这 种 缺陷 是 极为 重要 的 ,因为 它们 是 网 络 钓鱼 者 ,通过 调 到 用 户 最 喜爱 的 目标 来 试 
图 获得 用 户 的 信任 。 


6.2 Web 常见 攻击 


6.2.1 跨 站 点 脚本 攻击 


跨 站 点 脚本 攻击 (Cross-Site Scripting,XSS) 是 指 恶意 攻击 者 往 Web 页 面 里 插入 恶意 
HTML 代码 , 当 用 户 浏览 该 页 之 时 ,其 入 Web 里 面 的 HTML 代码 会 被 执行 ,从 而 达到 恶意 
用 户 的 特殊 目的 。Web 页 面 经 常 在 应 用 程序 中 对 用 户 的 输入 进行 回 显 ,一 般 而 言 , 在 预先 
设计 好 的 某 个 特定 域 中 输入 的 纯 文 本 才能 被 回 显 。 但 是 HTML 并 不 仅仅 支持 纯 文 本 ,还 
可 以 包含 多 种 客户 端的 脚本 代码 ,以 此 来 完成 许多 操作 ,诸如 验证 表单 数据 ,或 者 提供 动态 
的 用 户 界 面 元 素 。 这 样 就 为 恶意 攻击 者 提供 了 可 乘 之 机 。 

XSS 漏洞 可 能 造成 的 后 果 包 括 窃 取 用 户 会 话 、 窍 取 敏 感 信息 ` 重 写 Web 页 面 、 重 定向 用 
户 到 钓鱼 网 站 等 ,尤为 严重 的 是 ,XSS 漏洞 可 能 使 得 攻击 者 能 够 安装 XSS 代理 ,从 而 使 攻击 
者 能 够 观察 到 该 网 站 上 所 有 用 户 的 行为 ,并 能 操控 用 户 访问 其 他 的 恶意 网 站 。 

目前 , 跨 站 点 脚本 攻击 是 最 大 的 安全 威胁 ,其 导致 的 后 果 极 其 严重 ,影响 面 也 十 分 广泛 。 


1. XSS 攻击 类 型 


XSS 漏洞 分 为 反射 型 跨 站 脚本 攻击 、 存 储 型 跨 站 脚本 攻击 和 DOM 跨 站 脚本 攻击 。 
(1) 反射 型 跨 站 脚本 攻击 (Reflected XSS) 
反射 型 XSS 通常 是 由 攻击 者 诱 使 用 户 向 有 漏洞 的 Web 应 用 程序 提供 危险 内 容 , 然 后 
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这 些 危 险 内 容 会 反射 给 用 户 并 由 浏览 器 执行 。 最 常见 的 方法 是 将 恶意 内 容 作 为 一 个 参数 包 
含 在 URL 中 ,然后 将 URL 公开 发 布 或 者 通过 E-mail 发 给 受害 者 。 当 站 点 将 攻击 者 的 内 容 
反射 给 用 户 后 ,恶意 内 容 将 被 执行 ,从 用 户 机 器 上 窃取 用 户 的 私有 信息 (如 包含 Session 信 
息 的 Cookies) 发 送 给 攻击 者 或 者 进行 其 他 恶意 活动 。 

利用 这 种 漏洞 需要 恶意 攻击 者 精心 构造 一 个 包含 嵌入 式 JavaScript 代码 的 URL, 当 用 
户 访问 这 个 URL 时 ,这 段 JavaScript 代码 被 当 作 参 数 发 送 给 Web 服务 器 ,随后 这 些 代 码 又 
被 内 入 到 HTML 中 ,反射 回 到 提出 请 求 的 用 户 的 浏览 器 中 运行 ,因而 它 被 称 作 反射 型 跨 站 
脚本 漏洞 。 反 射 型 跨 站 脚本 攻击 过 程 如 图 6-3 所 示 。 


5. 运行 恶意 
当 脚本 代码 


2. 发 送 构造 好 的 含有 代码 的 URL 
6. 发 送 隐 私信 息 


恶意 攻击 者 
图 6-3 反射 型 跨 站 脚本 攻击 过 程 


QO@ 被 攻击 者 需要 先 登 录 Web 应 用 程序 .这 时 , 它 获 得 了 自己 的 权限 。 服 务 器 会 在 被 攻 
击 者 的 浏览 器 中 设置 Cookie 等 信息 ,来 标识 用 户 的 身份 和 权限 。 

@ 恶意 攻击 者 需要 事先 找到 Web 应 用 程序 中 一 个 含有 反射 型 跨 站 脚本 漏洞 的 页 面 ， 
并 根据 此 页 面 构造 一 个 精心 设计 的 含有 JavaScript 代码 的 URL。 

@ 被 攻击 者 点 击 了 收 到 的 URL, 这 时 ,被 攻击 者 就 把 URL 中 嵌入 的 JavaScript 代码 
发 送 给 了 含有 漏洞 的 Web 服务 器 。 

@ Web 服务 器 将 用 户 发 送 的 跨 站 脚本 代码 嵌入 到 HTML 中 反射 给 被 攻击 者 。 

@@ 被 攻击 者 的 浏览 器 收 到 了 Web 服务 器 的 响应 ,并 执行 了 HTML 中 的 恶意 代码 。 

@ 通过 执行 跨 站 脚本 代码 ,被 攻击 者 毫 不 知情 地 将 自己 的 Cookie 等 隐私 信息 发 送 给 
了 恶意 攻击 者 。 

@ 恶意 攻击 者 此 时 得 到 了 被 攻击 者 的 Cookie 等 信息 。 这 时 ,恶意 攻击 者 就 可 以 进行 
下 一 步 的 攻击 了 ,他 可 以 支持 被 攻击 者 的 会 话 ,以 被 攻击 者 的 身份 登录 Web 应 用 程序 ,并 执 
行 任意 操作 。 

在 IES 中 ,引入 了 XSS Filter 机 制 , 对 反射 型 跨 站 脚本 攻击 也 有 一 定 的 防御 作用 。 

(2) 存储 型 跨 站 脚本 攻击 (Stored XSS) 

存储 型 XSS 的 原理 类 似 于 基于 反射 的 XSS, 攻 击 者 设法 将 包含 攻击 代码 的 恶意 数据 提 
交 至 服务 器 端的 数据 库 或 文件 系统 中 ,一 旦 服务 器 保存 这 些 数据 ,只 要 用 户 点 击 包含 这 些 恶 
意 数据 的 页 面 ,就 会 在 浏览 器 中 执行 攻击 者 提交 的 恶意 脚本 。 
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存储 型 跨 站 脚本 漏洞 产生 的 原因 是 : Web 应 用 程序 允许 用 户 向 Web 服务 器 提交 数据 ， 
并 且 这 些 数据 会 被 保存 在 服务 器 中 ,然后 Web 应 用 程序 又 将 用 户 提交 的 数据 提供 给 其 他 用 
户 浏览 。 如 果 在 用 户 数据 保存 到 数据 库 和 从 数据 库 中 取出 并 提供 给 其 他 用 户 的 过 程 中 ， 
Web 应 用 程序 没有 对 用 户 提交 的 数据 进行 适当 的 过 滤 和 净化 ,这 时 就 会 出 现存 储 型 跨 站 脚 
本 漏洞 。 

存储 型 跨 站 脚本 攻击 至 少 需要 向 Web 应 用 程序 发 送 两 次 HTTP 请 求 ,第 一 次 是 恶意 
攻击 者 利用 跨 站 脚本 漏洞 ,设计 一 些 恶意 的 可 以 绕 过 过 滤 的 恶意 代码 ,并 发 送 到 Web 服务 
器 上 被 保存 起 来 。 第 二 次 是 被 攻击 者 查看 含有 跨 站 脚本 的 页 面 时 的 HTTP 请 求 , 这 时 , 恶 
意 攻击 者 事先 构造 的 恶意 代码 被 发 送 到 被 攻击 者 的 浏览 器 中 执行 。 所 以 ,存储 型 跨 站 脚本 
攻击 也 被 称 为 二 阶 跨 站 脚本 攻击 。 存 储 型 跨 站 脚本 攻击 过 程 如 图 6-4 所 示 。 


5. 运行 跨 站 


6 . 发送 隐 私信 息 四 匣 本 代码 


恶意 攻击 者 


图 6-4 存储 型 跨 站 脚本 攻击 过 程 


Q@ 恶意 攻击 者 利用 跨 站 脚本 漏洞 ,设计 恶意 代码 并 发 送 到 Web 服务 器 上 被 保存 。 

@ 被 攻击 者 登录 Web 应 用 程序 ,获得 了 自己 的 权限 。 服 务 器 会 在 被 攻击 者 的 浏览 器 
中 设置 Cookie 等 信息 ,来 标识 用 户 的 身份 和 权限 。 

@ 被 攻击 者 在 Web 服务 器 上 访问 ,点 击 了 含有 恶意 代码 的 URL。 

四 Web 服务 器 将 恶意 攻击 者 事先 构造 的 恶意 代码 发 送 到 被 攻击 者 的 浏览 器 。 

回 被 攻击 者 的 浏览 器 收 到 了 Web 服务 器 的 响应 ,并 毫 无 察觉 地 执行 了 HTML 中 的 恶 
意 代 码 。 

@ 通过 执行 跨 站 脚本 代码 ,被 攻击 者 毫 不 知情 地 将 自己 的 Cookie 等 隐私 信息 发 送 给 
了 恶意 攻击 者 。 

@ 恶意 攻击 者 此 时 得 到 了 被 攻击 者 的 Cookie 等 信息 。 这 时 ,恶意 攻击 者 就 可 以 进行 
下 一 步 的 攻击 了 ,如 支持 被 攻击 者 的 会 话 ,以 被 攻击 者 的 身份 登录 Web 应 用 程序 ,并 执行 任 
意 操作 等 。 

与 反射 性 跨 站 脚本 攻击 过 程 不 同 的 是 ,恶意 攻击 者 不 必 再 构造 一 个 特殊 的 URL 并 发 
送 给 被 攻击 者 ,而 是 利用 Web 应 用 程序 的 跨 站 脚本 漏洞 来 构造 恶意 脚本 代码 ,上 传 到 Web 
服务 器 中 。 然 后 ,在 Web 应 用 程序 中 展开 攻击 后 ,恶意 攻击 者 只 需要 等 待 被 攻击 者 浏览 已 
被 攻破 的 页 面 就 可 以 了 。 而 且 一 般 情况 下 ,这 个 页 面 是 一 个 正常 用 户 将 会 主动 访问 的 常规 
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页 面 。 在 攻击 完成 之 前 ,被 攻击 者 对 自己 遭受 的 攻击 毫 无 觉察 。 

例如 ,在 允许 上 传 文件 的 应 用 中 ,攻击 者 上 传 一 个 包含 恶意 代码 的 html 或 txt 文件 ,用 
户 浏览 这 些 文 件 时 执行 恶意 代码 。 另 外 ,在 上 传 图 片 中 也 很 普遍 ,如 果 图 片 中 包含 恶意 代 
码 , 低 版 本 的 IE 直接 请 求 这 个 图 片 时 ,将 忽略 Content-Type 而 执行 图 片 中 的 代码 。 

(3) DOM 跨 站 脚本 攻击 (DOM-Based XSS) 

基于 DOM 的 跨 站 脚本 漏洞 又 称 为 本 地 跨 站 脚本 漏洞 .存在 于 客户 端 脚 本 自身 。DOM 
是 一 种 可 以 用 来 在 浏览 器 中 代表 文档 的 格式 。DOM 能 将 动态 脚本 (例如 JavaScript) 提供 
给 文档 组 件 (例如 表单 字段 或 者 Cookie) 作 为 参考 。 当 通过 攻击 者 可 控制 的 DOM 元 素 构造 
请 求 修改 JavaScript 函数 等 活动 内 容 时 ,就 说 明 存 在 基于 DOM 的 跨 站 脚本 漏洞 。 用 户 点 击 
了 恶意 页 面 ,恶意 页 面 中 的 JavaScript 脚本 动态 地 创建 一 个 新 页 面 或 者 发 起 一 个 恶意 请 求 。 

基于 DOM 的 跨 站 脚本 漏洞 中 ,恶意 攻击 者 的 恶意 代码 并 不 是 由 Web 服务 器 典 入 
HTML 页 面 中 ,而 是 在 被 攻击 者 得 到 HTML 之 后 ,由 浏览 器 将 恶意 代码 代入 页 面 并 执行 。 
基于 DOM 的 路 站 脚本 漏洞 的 原理 是 : 基于 JavaScript 可 以 访问 HTML DOM, 所 以 可 以 
使 用 document. URL 变量 来 访问 URL。 页 面 中 的 document. URL 就 可 以 从 URL 中 提取 
数据 ,并 利用 这 些 数据 动态 更 新 页 面 的 内 容 。 如 果 在 这 个 过 程 中 ,恶意 攻击 者 在 URL 中 
构造 了 恶意 代码 , Web 应 用 程序 就 可 能 受到 基于 DOM 的 跨 站 脚本 攻击 。 通 常情 况 下 
document. location document. URL .document. referrer 这 几 个 对 象 最 容易 被 利用 。DOM 
的 跨 站 脚本 攻击 过 程 如 图 6-5 所 示 。 


国人 


图 6-5 基于 DOM 的 跨 站 脚本 攻击 过 程 


从 过 程 上 来 看 , 它 与 反射 型 跨 站 脚本 攻击 漏洞 有 很 大 的 相似 性 。 它 们 都 需要 构造 一 个 
含有 恶意 代码 的 URL, 并 诱 使 被 攻击 者 去 点 击 , 并 且 被 攻击 者 都 得 访问 此 URL 并 从 Web 
服务 器 得 到 响应 ,最终 在 浏览 器 中 执行 跨 站 脚本 代码 ,并 将 Cookie 等 隐私 信息 发 送 给 恶意 
攻击 者 。 但 是 两 者 在 细节 上 还 是 存在 着 很 大 的 不 同 , 在 利用 方式 上 ,也 有 很 多 不 同 。 


2. XSS 触发 机 制 


(1) 直接 触发 
运行 JavaScript 代码 最 直接 也 最 简单 的 方式 就 是 在 HTML 页 中 插入 所 script 之 二 /script 全 
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脚本 片段 。 因 此 只 要 在 目标 页 面 中 实现 完整 的 脚本 标记 ,JavaScript 代码 就 可 以 直接 运行 。 
将 JavaScript 嵌入 到 HTML 的 方式 有 : 
中 直接 杠 和 人 二 script 二 标签 。 
< script language = "javascript"> 


document. write("hello world! "); 
</script > 


@ 在 外 部 以 js 文件 的 形式 嵌入 。 


< script language = "javascript" src = "test. js"> 

</script> 

(2) 利用 HTML 标签 属性 触发 

HTML 中 用 于 访问 文件 的 标签 属性 具有 执行 JavaScript 代码 的 功能 。 如 果 JavaScript 
中 包括 一 个 URL 伪 协 议 ,可 以 使 用 "javascript: “协议 说 明 符 加 上 任意 的 JavaScript 代码 来 
表示 一 个 URL。 当 浏览 器 加 载 此 代码 的 URL 时 , 便 会 执行 页 面 里 的 JavaScript 代码 片段 。 
HTML 标签 中 包含 多 个 属性 ,例如 图 片 标签 二 img/ 过 的 src 属性 ,指向 文件 的 HTML 标签 
属性 href、dynsrc、longdesc 和 lowsrc 都 会 触发 页 面 请 求 。 


< img src= "javascript:alert('XSS') " /> 

< img dynsrc = "javascript:alert('XSS') " /> 
< img longdesc = "javascript:alert('XSS') " /> 
< input src= "javascript:alert('XSS') " /> 

< embed src= "javascript:alert('XSS') " /> 
<a href = "javascript:alert('XSS') " ></a> 


(3) 利用 HTM 事件 触发 

HTML 标签 定义 了 大 量 的 触发 事件 ,例如 键盘 .鼠标 的 触发 事件 等 。 只 要 满足 特定 的 
条 件 , 事 件 就 会 被 触发 并 执行 页 面 中 预先 定义 的 JavaScript 脚本 代码 。 每 种 浏览 器 都 内 置 
多 种 事件 处 理 器 ,事件 处 理 器 的 值 是 一 个 或 一 系列 以 分 号 隔 开 的 JavaScript 表达 式 方法 和 
函数 调用 。 事 件 处 理 器 监视 特定 的 触发 条 件 或 者 用 户 操作 行为 。 当 事件 被 触发 时 ,浏览 器 
会 执行 这 些 脚 本 代码 。 例 如 在 一 img 二 标签 中 含有 onError.onClick ,onMouseOver 等 事 
件 ,onError 事件 载 和 图片 失败 时 触发 , onClick 事件 在 鼠标 单 击 图 片 的 时 候 被 触发 ， 
onMouseover 事件 在 鼠标 经 过 图 片 的 时 候 被 触发 。 

< img src="#" onerror = "alert('XSS')”/> 

< img onClick = "alert('XSS')" /> 

< img onDblClick = "alert('XSS')" /> 

< img onMouseDown = "alert('XSS')" /> 

< img onMouseMove = "alert('XSS')" /> 

< img onMouseUp = "alert('XSS')" /> 

<body onError = "alert( 'XSS')" /></body> 

(4) 层 县 样式 表 触 发 

CSS( 层 又 样式 表 ) 也 可 以 触发 执行 JavaScript 代码 。 很 多 CSS 的 样式 属性 都 是 固定 选 
项 值 ,例如 颜色 属性 color 只 能 是 并 000 .black 等 表示 颜色 的 值 ,文本 对 齐 方式 text-align 只 
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能 是 left、 center, right 等 值 但 是 有 些 属性 却 有 自 定义 的 值 ,例如 背景 图 片 地 址 
background-image 就 可 以 设 定 为 某 个 URL 地 址 。 可 以 在 层 琶 样式 表 的 属性 中 嵌入 URL 
伪 协 议 以 执行 JavaScript 代码 。CSS 嵌入 HTML 页 面 的 三 种 方式 是 以 . CSS 文件 的 形式 ， 
以 到 style 字 二 /style> 标 签 的 方式 ,在 标签 中 添加 style 属性 的 方式 。 

CSS 杠 入 HTML 中 的 三 种 方式 如 下 。 

@ 以 .css 文 件 的 形式 


<1ink href = "test.css" rel = "stylesheet" type = " text/css"/> 

@ 以 二 style 二 二 /style 二 标签 的 方式 

< style type = "text/javascript"> alert('XSS') ;</ style > 

@ 在 标签 中 添加 style 属性 的 方式 

<a style = "background— image: url(javascript:alert('XSS'))"> </a> 


其 中 前 两 种 方式 是 等 价 的 ,可 以 直接 定义 一 类 标签 的 属性 ,或 者 在 标签 中 以 class 属性 
来 引用 。 


3. 预防 XSS 漏洞 


跨 站 脚本 攻击 都 是 由 于 对 用 户 的 输入 没有 进行 严格 的 过 滤 造 成 的 ,所 以 必须 在 所 有 数 
据 进入 应 用 程序 之 前 把 可 能 的 危险 拦截 。 来 自 应 用 安全 国际 组 织 OWASP 的 建议 ,对 XSS 
最 佳 的 防护 应 该 结合 以 下 两 种 方法 : 一 是 验证 所 有 输入 数据 ,有 效 检测 攻击 ; 二 是 对 所 有 
输出 数据 进行 适当 的 编码 ,以 防止 任何 已 成 功 注入 的 脚本 在 浏览 器 端 运行 。 

系统 开发 人 员 和 系统 维护 人 员 可 从 以 下 方面 防范 XSS 攻击 。 

(1) 黑 表 过 滤 

黑 表 过 滤 就 是 将 不 可 以 接受 的 数据 过 滤 掉 。 例 如 二 script 二 … 达 /script 二 标签 等 。 但 
是 仅仅 查找 或 替换 一 些 字符 (如 "二 "" 二 "或 类 似 "script" 的 关键 字 ) ,很 容易 被 XSS 变种 攻 
击 绕 过 验证 机 制 。 因 为 HTML 并 不 遵循 XHTML 标准 ,所 以 可 以 通过 插入 控制 符 的 
ASCII 码 改变 HTML 标签 内 的 关键 字 属 性 (混合 大 小 写 , 单 双 引 号 更 换 )、 插 入 注释 符 、 编 
码 替 换 等 方式 绕 过 过 滤 规制 。 

O@ 改变 关键 字 属 性 绕 过 过 滤 规 则 。 

如 : 二 img src 一 "javascript:alert('XSS') " /二 

写 为 : 二 img src 一 "JavasCripT:alert('XSS') " /二 可 绕 过 过 滤 规 则 。 

@ 插入 混淆 属性 绕 过 过 滤 规 则 。 

如 : 二 img src 一 "&&#15;javascript:alert('XSS') " /> 

等 价 于 : 二 img src 一 "javascript:alert('XSS') " /二 

@ 编码 替换 绕 过 过 滤 规 则 。 

如 : 代码 二 img src 二 "及 间 106 咏 并 97&& 间 118 区 提 97 芭 提 115 必 并 99&& 间 114& #105& 
打 112& 间 116&& 亲 58 区 打 97&. 间 108& 间 101&. 间 114 妨 并 116& 提 40&. 提 39& 间 88 苞 #83& 
提 83 妨 并 39&& 提 41&& 间 59" 之 

等 价 于 : 二 img src 一 "javascript:alert('xss';) "> 


194 


SAA 


Web 应 用 程序 测试 


(2) 设置 白 表 

由 黑 表 过 滤 机 制 可 知 ,将 黑 表 中 记录 的 所 有 非法 输入 进行 过 滤 几 乎 是 不 可 能 的 ,因为 可 
能 在 HTML 中 以 标签 方式 执行 的 脚本 类 型 层出不穷 ,编码 方式 也 不 断 更 新 。 因 此 ,与 其 
过 滤 数 据 中 不 应 该 被 接受 的 部 分 ,不 如 设置 白 表 ,将 所 有 可 以 接受 的 数据 记录 下 来 ,并 严 
格 执行 字符 输入 字数 控制 ,这 样 只 允许 输入 白 表 中 设置 的 数据 类 型 ,其 他 类 型 均 不 允许 
输入 。 

(3) 字符 转换 

如 果 不 把 用 户 输入 看 成 代码 而 只 看 成 文本 的 话 , 就 能 避免 跨 站 脚本 攻击 。 例 如 常见 
的 跨 站 脚本 几乎 都 是 以 HTML 标签 执行 的 ,都 需要 在 代码 中 加 入 尖 括 号 “二 二 ”, 如 果 将 
尖 括 号 进行 转换 ,转换 为 一 个 文本 字符 , 则 即使 被 浏览 器 解释 ,也 是 无 法 执行 的 ,而 是 直 
接 显示 。 

避免 攻击 最 根本 的 解决 手段 就 是 在 确认 客户 端的 输入 合法 之 前 ,服务 端 拒 绝 进行 关键 
性 的 处 理 操作 。 


4. XSS 测试 


首先 ,找到 带 有 参数 传递 的 URL, 如 登录 页 面 、 搜 索 页 面 . 提 交 评 论 、 发 表 留 言 页 面 等 。 

其 次 ,在 页 面 参数 中 输入 如 下 语句 (如 JavaScript、VBScript.HTML、ActiveX、Flash) 来 
进行 测试 ,如 二 script>>alert(document. cookie) 一 /script 二 。 

最 后 , 当 用 户 浏览 时 便 会 弹出 一 个 警告 框 ,内 容 显示 的 是 浏览 者 当前 的 Cookie 串 , 这 就 
说 明 该 网 站 存在 XSS 漏洞 。 


6.2.2 SQL 注入 


开发 人 员 在 编写 代码 的 时 候 , 没 有 对 用 户 的 输入 数据 或 者 是 页 面 中 所 携带 的 信息 进行 
必要 的 合法 性 判断 ,导致 了 攻击 者 可 以 提交 一 段 数据 库 查询 代码 ,根据 程序 返回 的 结果 , 获 
得 他 想得到 的 数据 。 这 样 就 产生 了 数据 库 的 注入 攻击 , 即 SQL 注入 攻击 。SQL 注入 攻击 
就 其 本 质 而 言 , 就 是 利用 SQL 的 语法 ,针对 应 用 程序 开发 设计 中 的 漏洞 进行 攻击 。 当 攻击 
者 能 够 操作 数据 , 往 应 用 程序 中 插入 一 些 SQL 语句 时 ,SQL 注入 攻击 就 发 生 了 。 


1. SQL 语言 基础 


SQL(Structured Query Language, 结 构 化 查询 语言 ) 分 为 许多 种 ,但 大 多 数 都 松散 地 基 
于 美国 国家 标准 化 组 织 最 新 的 标准 SQL-92。SQL 的 主要 功能 是 同 各 种 数据 库 建立 联系 ， 
进行 沟通 。 使 用 SQL 编写 应 用 程序 可 以 完成 数据 库 的 管理 工作 。 任 何 程序 ,无 论 它 用 什么 
形式 的 高 级 语言 ,只 要 是 向 数据 库 管 理 系统 发 出 命令 来 获得 数据 库 管 理 系 统 的 响应 ,最 终 都 
必须 体现 以 SQL 语句 的 指令 。 按 照 ANSI( 美 国 国家 标准 协会 ) 的 规定 ,SQL 语句 是 和 关系 
型 数据 系统 进行 交互 的 标准 语言 。 

SQL 语句 可 以 用 来 执行 各 种 各 样 的 操作 ,例如 更 新 数据 库 中 的 数据 ,从 数据 库 中 提取 
数据 等 。 典 型 的 执行 语句 是 query, 它 能 够 收集 符合 条 件 的 记录 并 返回 一 个 单一 的 结果 集 。 
目前 绝 大 多 数 流 行 的 关系 型 数据 库 管理 系统 如 Oracle、Sybase、 Informix、Microsoft SQL 
Server、Access 等 都 采用 了 SQL 语言 标准 。 虽 然 很 多 数据 库 都 对 SQL 语句 进行 了 再 开发 
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和 扩展 ,但 是 包括 SELECT、INSERT、UPDATE、DELETE、CREATE, 以 及 DROP 在 内 的 
标准 的 SQL 命令 仍然 可 以 被 用 来 完成 几乎 所 有 的 数据 库 操作 。 
(1) 创建 数据 表 
Create table tablename (field type[(size)] [not null] {, field type[(size)] [not null] …} 
[primary key(field)] 
table: 新 建 数据 表 的 名 称 ; 
field: 用 于 指定 在 新 表 中 创建 的 新 字段 的 名 称 , 每 个 表 至 少 有 一 个 字段 ; 
type: 用 于 指定 新 建 字段 的 数据 类 型 ; 
size: 用 于 指定 文本 以 及 二 进 制 字段 的 长 度 ; 
not null: 指定 该 字段 值 不 能 为 空 ; 
primary key: 设置 主键 。 
(2) SQL 数据 查询 
Select [all|distinct] {expr[[AS]c alias] {, expr[[AS]c_alias] }} from tableref{, tableref .…} 
[where < search condition>] 
expr: 要 查询 的 列 名 ,多 个 列 名 之 间 使 用 *, ”分隔 ; 
tableref: 要 查询 的 表 ; 
search_condition: 查询 条 件 ; 
c_alias: 字段 别名 。 
(3) INSERT 语句 
Insert into tablename [ (colname{, colname})] {values (expr|NULL{, expr|NULL...}) |subquery} 
当 向 指定 的 表 中 插入 记录 时 只 能 使 用 下 面 两 种 结构 。 
values: 一 次 只 能 向 表 中 插入 一 条 记录 ; 
subquery: 可 向 表 中 插入 多 条 记录 , 即 可 以 嵌 套 语句 。 
(4) UPDATA 语句 


Update tablename set colname = {expr|NULL| (subquery)} [where search_condition] 


Update 用 来 修改 表 中 记录 的 属性 值 , 并 支持 子 查询 (subquery) 结 构 。 
(5) DELETE 语句 


Delete from tablename [where search condition] 
Drop table tablename 


Delete: 只 删除 表 中 的 记录 ,不 删除 表 的 结构 。 
Drop: 删除 表 中 的 记录 ,连同 表 一 起 删除 。 
2. SQL 注入 定义 


SQL 注入 (SQL Injection) 就 是 攻击 者 把 SQL 命令 插入 到 Web 表单 的 输入 域 或 页 面 请 
求 的 查询 字符 串 中 ,欺骗 服务 器 执行 恶意 的 SQL 命令 以 达到 对 数据 库 的 数据 进行 操控 的 目 
的 。 如 果 应 用 程序 使 用 权限 较 高 的 数据 库 用 户 连 接 数 据 库 ,那么 通过 SQL 注入 攻击 很 可 能 
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就 直接 得 到 系统 权限 ,控制 服务 器 操作 系统 ,获取 重要 信息 。 

SQL 注入 攻击 的 特点 是 攻击 耗 时 少 \ 危 害 大 。SQL 注入 可 能 带 来 的 风险 有 如 下 几 种 。 

(1) 探知 数据 库 的 结构 ,为 进一步 发 动 攻击 做 准备 ; 

(2) 窃取 数据 ,泄露 数据 库 内 容 ， 

(3) 取得 系统 更 高 权限 后 ,可 以 增加 、 删 除 和 修改 数据 库 内 部 表 结 构 和 数据 ; 

(4) 执行 操作 系统 命令 ,进而 控制 服务 器 ; 

(5) 在 服务 器 上 挂 上 木马 ,影响 所 有 访问 该 服务 器 的 主机 。 

SQL 注入 是 前 几 年 国内 最 流行 的 Web 攻击 方式 ,国内 大 部 分 的 网 站 被 入侵 都 是 由 于 
SQL 注入 攻击 造成 的 。 近 两 年 ,SQL 注入 漏洞 研究 已 经 从 显示 的 URL 直接 注入 到 表单 ， 
再 到 HTTP 头 的 各 个 字段 的 SQL 注入 。SQL 注入 根据 应 用 程序 和 使 用 数据 库 的 不 同 , 攻 
击 的 方式 也 存在 各 种 差别 。 


3. SQL 注入 攻击 示例 


在 SQL 注入 攻击 中 ,一 个 最 简单 的 例子 就 是 绕 开 登录 ,并 利用 SQL 注入 漏洞 窃取 用 户 
信息 。 许 多 采用 基于 表单 登录 功能 的 应 用 程序 都 是 用 数据 库 保存 用 户 证 书 ,并 执行 一 个 简 
单 的 SQL 查询 来 确认 每 次 登录 尝试 的 。 

假设 某 网 站 登录 界面 要 求 输入 用 户 名 和 和 密码。 如 果 在 用 户 名 输入 框 中 输入 “zhang”, 密 码 
框 中 输入 "126543”, 那 么 这 个 数据 被 传递 到 后 台 就 会 生成 SQL 语句 : SELECT * FROM 
users WHERE username 一 'zhang' AND password 二 '126543'。 这 个 查询 要 求 数据 库 检 查 
用 户 表 中 的 每 一 行 , 提 取出 每 条 username 值 为 zhang、password 值 为 126543 的 记录 。 如 果 
应 用 程序 收 到 一 名 用 户 的 资料 ,该 用 户 即 可 成 功 录入 ,应 用 程序 还 会 为 其 创建 一 个 通过 验证 
的 会 话 。 

攻击 者 可 以 注入 用 户 名 或 密码 字段 来 修改 应 用 程序 执行 的 查询 ,从 而 破坏 它 的 逻辑 。 
例如 ,用 户 名 为 admin'--, 密 码 为 任意 值 ,那么 应 用 程序 将 执行 以 下 查询 : 


SELECT * FROM users WHERE username = 'admin'—— 'AND password = 'pass’ 


双 连 字符 (--) 在 SQL 中 表示 该 行 的 其 他 部 分 属于 注释 ,在 “--” 之 后 的 语句 将 被 忽略 。 
因此 ,上 面 的 查询 等 同 于 : 


SELECT * FROM users WHERE username = ‘admin' 


于 是 这 个 查询 完全 避 开 了 密码 检查 ,因此 ,攻击 者 可 以 只 需 提供 他 们 知道 的 用 户 名 ,就 
可 以 以 任何 用 户 登录 。 

使 用 双 连 字符 (--) 在 SQL 注入 攻击 中 极其 重要 ,因为 它 忽 略 了 由 应 用 程序 开发 者 建立 
查询 的 剩余 部 分 。 有 些 时 候 , 也 可 不 使 用 注释 符号 处 理 字符 串 末 尾部 分 的 引号 ,而 用 一 个 需 
要 引号 包含 的 字符 串 数据 结束 注入 的 输入 ,以 此 来 “平衡 引号 ”。 

如 果 攻 击 者 不 知道 管理 员 的 用 户 名 ,同样 可 以 攻击 。 大 多 数 应 用 程序 中 ,数据 库 的 第 一 
个 账户 属于 管理 员 用 户 ,因为 这 种 账户 通常 由 手工 创建 ,然后 再 通过 它 生 成 其 他 应 用 程序 账 
户 。 因 此 攻击 者 可 以 利用 这 种 行为 .在 用 户 名 中 输入 *OR 1 二 1--”, 以 数据 库 第 一 名 用 户 的 
身份 登录 。 
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应 用 程序 将 执行 以 下 查询 : 
SELECT * FROM users WHERE username = ''OR 1=1—— 'AND password = 'pass'" 


由 于 使 用 了 注释 符号 ,上 面 的 查询 等 同 于 : 


SELECT * FROM users WHERE username= ''OR1=1 


由 于 1 一 1 是 永远 成 立 的 条 件 , 该 查询 将 返回 全 部 应 用 程序 用 户 的 资料 。 

由 此 可 以 看 出 ,SQL 注入 攻击 是 风险 非常 高 的 安全 漏洞 ,一 旦 Web 应 用 中 给 用 户 提 供 
了 需要 其 输入 数据 的 接口 ,就 有 可 能 遭 到 攻击 ,将 后 台 的 数据 完全 暴露 在 用 户 的 面前 。 

常见 的 SQL 注入 攻击 的 过 程 如 图 6-6 所 示 。 


| 用 户 登 录 的 表单 上 

蚀 2 注入 恶意 SQL 代码 区 汉 3 提交 SQL 请求 

入 3. 返 回 相 结果 BD | 4. 解释 执行 SQL 
SF 


攻击 者 应 用 程序 数据 库 
图 6-6 SQL 注入 的 攻击 过 程 


(1) 应 用 程序 展示 给 攻击 者 一 个 用 户 登 录 的 表单 。 

(2) 攻击 者 在 表单 中 注入 恶意 SQL 代码 。 

(3) 应 用 程序 根据 用 户 输入 形成 一 个 包含 攻击 的 SQL 查询 ,并 向 数据 库 提交 。 
(4) 数据 库 解 释 执 行 包含 攻击 的 SQL 查询 并 向 应 用 程序 返回 查询 结果 。 

(5) 应 用 程序 向 攻击 者 返回 查询 结果 。 


4. 预防 SQL 攻击 


(1) 严格 区 分 普通 用 户 与 系统 管理 员 用 户 的 权限 。 

由 于 SQL Server 不 能 更 改 sa 用 户 名 称 , 也 不 能 删除 这 个 超级 用 户 , 所 以 ,我 们 必须 对 
这 个 账号 进行 最 强 的 保护 。 给 sa 账户 设置 一 个 非常 强壮 的 密码 ,并 且 最 好 不 要 在 数据 库 应 
用 中 使 用 sa 账号 。 此 外 ,对 于 终端 用 户 一 般 使 用 数据 库 应 用 只 是 用 来 做 查询 ,修改 等 简单 
功能 的 ,应 尽量 减少 他 们 对 数据 库 对 象 的 建立 、 删 除 等 权限 。 例 如 , 某 些 用 户 只 要 查询 功能 ， 
那么 就 使 用 一 个 简单 的 public 账号 ,能 够 使 用 select 就 可 以 了 。 这 样 即使 在 攻击 者 使 用 的 
SQL 语句 中 带 有 嵌入 式 的 恶意 代码 ,由 于 其 用 户 权限 的 限制 ,这 些 代码 也 将 无 法 被 执行 。 
因此 ,应 用 程序 在 设计 的 时 候 ,最 好 把 系统 管理 员 与 普通 用 户 区 分 开 来 。 这 样 可 以 最 大 限度 
的 减少 注入 式 攻 击 给 数据 库 带 来 的 危害 。 

(2) 强迫 使 用 参数 化 语句 。 

如 果 在 编写 SQL 语句 的 时 候 , 用 户 输入 的 变量 不 是 直接 嵌入 到 SQL 语句 中 ,而 是 通过 
参数 来 传递 这 个 变量 ,就 可 以 有 效 地 防治 SQL 注入 式 攻击 。 也 就 是 说 ,用 户 的 输入 绝对 不 
能 够 直接 被 嵌入 到 SQL 语 名 中。 另外, 用户 输 入 的 内 容 必须 进行 过 滤 , 或 者 使 用 参数 化 的 
语句 来 传递 用 户 输入 的 变量 。 参 数 化 的 语句 使 用 参数 而 不 是 将 用 户 输入 变量 嵌入 到 SQL 
语句 中 。 采 用 这 种 措施 ,可 以 杜绝 大 部 分 的 SQL 注入 式 攻击 。 数 据 库 工程 师 在 开发 产品 的 
时 候 要 尽量 采用 参数 化 语句 。 
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(3) 加 强 对 用 户 输入 的 验证 。 

在 SQL Server 数据 库 中 ,有 比较 多 的 用 户 输入 内 容 验证 工具 ,可 以 帮助 管理 员 来 对 付 
SQL 注入 式 攻 击 。 测 试 字 符 串 变量 的 内 容 , 只 接受 所 需 的 值 。 拒 绝 包含 二 进 制 数据 、 转 义 
序列 和 注释 字符 的 输入 内 容 。 这 有 助 于 防止 脚本 注入 ,防止 某 些 缓冲 区 溢出 攻击 。 测 试用 
户 输入 内 容 的 大 小 和 数据 类 型 ,强制 执行 适当 的 限制 与 转换 。 这 既 有 助 于 防止 有 意 造 成 的 
缓冲 区 溢出 ,对 于 防治 注入 式 攻击 也 有 比较 明显 的 效果 。 

另外 ,可 以 使 用 存储 过 程 来 验证 用 户 的 输入 。 利 用 存储 过 程 可 以 实现 对 用 户 输入 变量 
的 过 滤 , 例 如 拒绝 一 些 特殊 的 符号 ,如 过 滤 单 引号 、 双 引号 、 反 斜 杠 ,以 及 Null 字符 (\0") 等 。 
在 执行 SQL 语句 之 前 ,可 以 通过 数据 库 的 存储 过 程 ,来 拒绝 接纳 一 些 特殊 的 符号 。 在 不 影 
响 数据 库 应 用 的 前 提 下 ,应 该 让 数据 库 拒绝 包含 以 下 字符 的 输入 ,如 分 号 分 隔 符 、 注 释 分 隔 
符 等 。 注 释 只 有 在 数据 设计 的 时 候 用 到 ,一 般 用 户 的 查询 语句 中 没有 必要 有 注释 的 内 容 , 故 
可 以 直接 拒绝 掉 。 

始终 通过 测试 类 型 长度、 格式 和 范围 来 验证 用 户 输入 ,过 滤 用 户 输入 的 内 容 。 这 是 防 
止 SQL 注入 式 攻击 的 常见 并 且 行 之 有 效 的 措施 。 

(4) 多 使 用 SQL Server 数据 库 自 带 的 安全 参数 。 

为 了 减少 注入 式 攻 击 对 于 SQL Server 数据 库 的 不 良 影响 ,SQL Server 数据 库 专 门 设 
计 了 相对 安全 的 SQL 参数 。 在 数据 库 设计 过 程 中 ,工程 师 要 尽量 采用 这 些 参数 来 预防 恶意 
的 SQL 注入 式 攻击 。 

如 在 SQL Server 数据 库 中 提供 了 Parameters 集合 。 这 个 集合 提供 了 类 型 检查 和 长 度 
验证 的 功能 。 如 果 管理 员 采 用 了 Parameters 这 个 集合 , 则 用 户 输入 的 内 容 将 被 视 为 字符 值 
而 不 是 可 执行 代码 。 即 使 用 户 输入 的 内 容 中 含有 可 执行 代码 , 则 数据 库 也 会 过 滤 掉 。 因 为 
此 时 数据 库 只 把 它 当 作 普 通 的 字符 来 处 理 。 使 用 Parameters 集合 的 另外 一 个 优点 是 可 以 
强制 执行 类 型 和 长 度 检查 ,范围 以 外 的 值 将 触发 异常 。 如 果 用 户 输入 的 值 不 符合 指定 的 
类 型 与 长 度 约束 ,就 会 发 生 异 常 ,并 报告 给 管理 员 。 如 果 员 工 编号 定义 的 数据 类 型 为 字 
符 串 型 ,长 度 为 10 个 字符 。 而 用 户 输入 的 内 容 虽 然 也 是 字符 类 型 的 数据 ,但 是 其 长 度 达 
到 了 20 个 字符 , 则 此 时 就 会 引发 异常 ,所 以 限制 表单 或 查询 字符 串 输 入 的 长 度 ,可 以 有 效 地 
增加 攻击 者 进行 攻击 的 难度 。 定 期 查看 审核 数据 库 登 录 事 件 的 “失败 和 成 功 ”, 便 于 管理 员 
从 登录 事件 中 发 现 攻 击 并 修改 权限 配置 。 

(5) 加 强 管理 扩展 存储 过 程 。 

加 强 管理 扩展 存储 过 程 ,对 存储 过 程 进行 清理 ,删除 不 必要 的 存储 过 程 ,对 账号 调用 扩 
展 存储 过 程 的 权限 要 格外 慎重 。 因 为 有 些 系统 的 存储 过 程 能 很 容易 地 被 攻击 者 利用 以 提升 
权限 或 进行 攻击 。 

(6) 使 用 协议 加 密 并 加 强 连接 控制 。 

SQL 通常 使 用 Tabular Data Stream 协议 来 进行 网 络 数据 交换 ,如 果 不 加 密 , 所 有 的 网 
络 传输 都 是 明文 的 ,包括 密码 ,数据 库 内 容 等 ,这 是 一 个 很 大 的 安全 威胁 。 攻 击 者 能 使 用 数 
据 包 捕获 工具 (如 NetXray ,sniffer) 在 网 络 中 截获 到 数据 库 账 号 和 密码 等 信息 。 所 以 ,在 条 
件 容许 情况 下 ,最 好 使 用 SSL 来 加 密 协议 。 此 外 ,在 默认 情况 下 ,SQL Server 使 用 1433 端 
口 监听 ,为 防止 攻击 者 对 服务 器 进行 探测 , 需 修改 SQL 的 默认 端口 号 。 同 时 要 对 IP 连接 进 
行 限 制 ,只 保证 特定 用 户 的 IP 能 够 访问 ,拒绝 其 他 IP 进行 的 端口 连接 ,有 效 控 制 来 自 网 络 
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上 的 安全 威胁 。 

(7) 使 用 专业 的 漏洞 扫描 工具 检测 系统 。 

使 用 专业 的 漏洞 扫描 工具 ,可 以 帮助 管理 员 寻 找 可 能 被 SQL 注入 式 攻击 的 点 。 不 过 漏 
洞 扫描 工具 只 能 发 现 攻击 点 ,而 不 能 够 主动 起 到 防御 SQL 注入 攻击 的 作用 。 当 然 这 些 工具 

也 经 常 被 攻击 者 拿 来 使 用 ,进行 自动 搜索 攻击 目标 并 实施 攻击 。 为 此 在 必要 的 情况 下 ,企业 

应 当 投资 于 一 些 专业 的 漏洞 扫描 工具 。 一 个 完善 的 漏洞 扫描 程序 不 同 于 网 络 扫描 程序 , 它 
专门 查找 数据 库 中 的 SQL 注入 式 漏洞 。 最 新 的 漏洞 扫描 程序 可 以 查找 最 新 发 现 的 漏洞 。 
所 以 凭借 专业 的 工具 ,可 以 帮助 管理 员 发 现 SQL 注入 式 漏洞 ,并 提醒 管理 员 采 取 积 极 的 措 
施 来 预防 SQL 注入 式 攻 击 。 如 果 攻 击 者 能 够 发 现 的 SQL 注入 式 漏洞 ,数据 库 管理 员 都 发 
现 了 并 采取 了 积极 的 措施 堵 住 漏洞 ,那么 攻击 者 也 就 无 从 下 手 了 。 

(8) 多 层 环境 防治 SQL 注入 式 攻击 。 

在 多 层 应 用 环境 中 ,用 户 输入 的 所 有 数据 都 应 该 在 验证 之 后 才能 允许 进入 到 可 信 区 域 。 
未 通过 验证 过 程 的 数据 应 被 数据 库 拒绝 ,并 向 上 一 层 返 回 一 个 错误 信息 ,实现 多 层 验 证 。 对 
无 目的 的 恶意 用 户 采取 的 预防 措施 ,对 坚定 的 攻击 者 可 能 无 效 。 更 好 的 做 法 是 在 用 户 界 面 
和 所 有 跨 信任 边界 的 后 续 点 上 验证 输入 。 如 在 客户 端 应 用 程序 中 验证 数据 可 以 防止 简单 的 
脚本 注入 。 但 是 ,如 果 下 一 层 认为 其 输入 已 通过 验证 , 则 任何 可 以 绕 过 客户 端的 恶意 用 户 就 
可 以 不 受 限 制 地 访问 系统 。 故 对 于 多 层 应 用 环境 ,在 防止 注入 式 攻击 的 时 候 ,需要 各 层 一 起 
努力 ,在 客户 端 与 数据 库 端 都 要 采用 相应 的 措施 来 防治 SQL 语句 的 注入 式 攻击 。 


5. SQL 注入 检测 工具 


常见 的 SQL 注入 检测 工具 如 下 。 
(1) SQL 注入 工具 ， 

(2) Pangolin 注入 工具 ; 

(3) Havij 注入 工具 ; 

(4) 旁 注 明 小 子 注入 工具 ; 

(5) DSQTools 注入 工具 ; 

(6) NVSI 注入 工具 ; 

(7) 阿 D 注 和 工具; 

(8) 扫描 SQL 注入 漏洞 工具 ; 
(9) Acunetix Web Vulnerability Scanner; 
(10) IBM Rational AppScan; 
(11) HP WebInspect。 


6. SQL 注入 漏洞 检测 


系统 中 可 能 存在 SQL 注入 点 的 地 方 有 表单 中 的 各 个 域 . 带 参数 的 URL、Cookies 中 存 
储 的 变量 .HTTP HEAD 中 的 字段 等 。 

常规 检测 方法 是 特殊 字符 测试 ,如 在 参数 后 面 加 单 引号 、 双 引号 \、 注 释 符 、 分 号 等 特殊 字 
符 , 检 测 服务 器 运行 是 否 报 错 。 

测试 时 可 参考 下 列 方法 。 
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(1) 找到 带 有 参数 传递 的 URL 页 面 , 如 搜索 页 面 、 登 录 页 面 、 提 交 评 论 页 面 等 。 对 于 未 
明显 标识 在 URL 中 传递 参数 的 ,可 以 通过 查看 HTML 源 代 码 中 的 FORM 标签 来 辨别 是 
否 还 有 参数 传递 。 在 FORM 放 和 二 /FORM 二 的 标签 中 间 的 每 一 个 参数 传递 都 有 可 能 被 
利用 。 

当 找 不 到 有 输入 行为 的 页 面 时 ,可 以 尝试 找 一 些 带 有 某 些 参数 的 特殊 的 URL, 如 
http:// xxxxx /index. php?id 一 6。 

(2) 在 URL 参数 或 表单 中 加 入 某 些 特殊 的 SQL 语句 或 SQL 片断 。 例 如 ,在 登录 页 面 
的 URL 中 输入 http:// xxxxx /index. php?username 一 admin' or 1 一 1--。 

(3) 验证 是 否 能 入 侵 成 功 或 是 出 错 的 信息 是 否 包含 数据 库 服 务 器 的 相关 信息 。 

如 果 网 站 存在 SQL 注入 的 危险 ,对 于 有 经 验 的 恶意 用 户 还 可 能 猜 出 数据 库 表 和 表 结 
构 , 并 对 数据 库 表 进行 增加 、 删 除 和 修改 的 操作 ,这 样 造成 的 后 果 是 非常 严重 的 。 


6.2.3” 跨 站 请 求 伪 造 
1. 什么 是 跨 站 请 求 伪造 


跨 站 请 求 伪 造 (Cross-Site Request Forgery,CSRF) 是 一 种 对 网 站 的 恶意 利用 ,可 以 在 
受害 者 毫 不 知情 的 情况 下 以 受害 者 名 义 伪 造 请 求 发 送 给 受 攻击 站 点 ,从 而 在 未 授权 的 情况 
下 执行 在 权限 保护 之 下 的 操作 ,具有 很 大 的 危害 性 。 

早 在 2000 年 ,CSRF 这 种 攻击 方式 已 经 由 国外 的 安全 人 员 提 出 ,但 在 国内 ,直到 2006 
年 才 开 始 被 关注 。2008 年 ,国内 外 多 个 大 型 社区 和 交互 网 站 先后 爆 出 CSRF 漏洞 ,如 百度 
HINYTimes. com( 纽 约 时 报 )、Metafilter( 一 个 大 型 的 BLOG 网 站 ) 和 YouTube 等 。 但 直 
到 现在 ,互联 网 上 的 许多 站 点 仍 对 此 防备 不 足 。 

OWASP 对 CSRF 的 定义 为 : CSRF 攻击 迫使 通过 验证 的 终端 用 户 在 毫 无 察觉 的 情况 
下 向 Web 应 用 提交 不 必要 的 动作 。 其 攻击 过 程 简单 地 说 ,攻击 者 在 社会 工程 帮助 下 (例如 
通过 电子 邮件 /聊天 发 送 的 链接 ) ,通过 伪造 一 个 合法 用 户 请 求 ,该 请 求 不 是 该 用 户 想 发 起 的 
请 求 ,而 对 服务 器 或 服务 来 说 这 个 请 求 是 完全 合法 的 ,但 是 却 完成 了 一 个 攻击 者 所 期 望 的 操 
作 , 例 如 添加 一 个 用 户 到 管理 者 的 群 组 中 ,或 将 一 个 用 户 的 积分 转 到 另外 一 个 账户 中 。 
CSRF 攻击 的 目标 是 普通 用 户 时 , 它 可 能 会 危害 终端 用 户 的 数据 和 操作 。CSRF 攻击 的 目 
标 是 管理 员 用 户 时 , 它 可 能 会 损害 整个 Web 应 用 程序 。 


2. CSRF 攻击 原理 


CSRF 攻击 原理 比较 简单 ,如 图 6-7 所 示 。 其 中 Web A 为 存在 CSRF 漏洞 的 网 站 , Web 
B 为 攻击 者 构建 的 恶意 网 站 ,User C 为 Web A 网 站 的 合法 用 户 。 

(1) 用 户 C 打开 浏览 器 ,访问 受信 任 网 站 A. 输 入 用 户 名 和 密码 请 求 登录 网 站 A。 

(2) 在 用 户 信息 通过 验证 后 ,网 站 A 产生 Cookie 信息 并 返回 给 浏览 器 ,此 时 用 户 登 录 
网 站 A 成 功 ,可 以 正常 发 送 请 求 到 网 站 A。 

(3) 用 户 未 退出 网 站 A 之 前 ,在 同一 浏览 器 中 ,打开 一 个 Tab 页 访问 网 站 B。 

(4) 网 站 B 接收 到 用 户 请 求 后 ,返回 一 些 攻击 性 代码 ,并 发 出 一 个 请 求 要 求 访问 第 三 方 
站 点 A。 
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名: 3. 访问 恶意 网 站 B 
用 户 浏览 器 。 一 一 4. B 要 求 访问 A -I 


网 站 B( 恶 意 网 站 ) 
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(5) 浏览 器 在 接收 到 这 些 攻击 性 代码 后 ,根据 网 站 B 的 请 求 ,在 用 户 不 知情 的 情况 下 携 
带 Cookie 信息 ,向 网 站 A 发 出 请 求 。 网 站 A 并 不 知道 该 请 求 其 实 是 由 B 发 起 的 ,所 以 会 根 
据 用 户 C 的 Cookie 信息 以 C 的 权限 处 理 该 请 求 ,导致 来 自 网 站 B 的 恶意 代码 被 执行 。 


3. CSRF 攻击 例子 


CSRF 攻击 通过 在 授权 用 户 访问 的 页 面 中 包含 链接 或 脚本 的 方式 进行 攻击 。 例 如 ,一 个 
网 络 用 户 A 可 能 正在 浏览 聊天 论坛 ,而 同时 另 一 个 用 户 B 也 在 此 论坛 中 ,并 刚刚 发 布 了 一 个 
具有 用 户 A 银行 链接 的 图 片 消息 。 设 想 一 下 ,用户 B 编写 了 一 个 在 用 户 A 的 银行 站 点 上 进行 
取款 的 form( 表 格 ) 提 交 链 接 , 并 将 此 链接 作为 图 片 的 tag。 如 果 用 户 A 的 银行 在 Cookie 中 
保存 了 他 的 授权 信息 ,并 且 此 Cookie 没有 过 期 ,那么 当 用 户 A 的 浏览 器 尝试 装载 图 片 时 ， 
将 提交 这 个 取款 form 和 他 的 Cookie, 这 样 就 在 没 经 用 户 A 同意 的 情况 下 授权 了 这 次 事务 。 
我 们 假定 四 个 角色 : 攻击 者 、 用 户 、 网 上 银行 和 一 个 论坛 ,如 图 6-8 所 示 。 
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图 6-8 CSRF 攻击 过 程 
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攻击 的 流程 主要 分 以 下 几 个 步骤 。 

(1) 用 户 连 入 网 上 银行 操作 ,该 网 上 银行 使 用 持久 化 授权 Cookie, 只 要 用 户 不 清除 
Cookies ,任何 时 候 连 人 网 上 银行 时 ,该 银行 网 站 都 认为 该 用 户 是 有 效 的 。 

(2) 攻击 者 在 论坛 上 发 表 图 片 ,内 戏 有 GET 或 POST 方法 的 URL 并 指向 该 网 上 银 
行 ,如 果 该 URL 由 一 个 银行 的 合法 用 户 发 出 , 则 该 URL 会 使 用 户 账户 被 修改 。 

(3) 用 户 浏 览 此 论坛 并 单 击 该 图 片 ,攻击 者 预 设 的 URL 由 用 户 发 往 银行 站 点 , 因 该 用 
户 未 清除 Cookie, 该 请 求 有 效 ,用 户 账户 在 用 户 并 不 知情 的 前 提 下 被 成 功 修改 。 

需要 注意 的 是 ,这 个 过 程 很 像 跨 站 脚本 攻击 ,但 实际 上 它们 是 完全 不 同 的 。 跨 站 脚本 攻 
击 需要 在 客户 端 写 人 恶意 代码 ,以 搜集 Cookie 等 信息 ,而 跨 站 请 求 伪造 则 根本 不 需要 向 用 
户 端 写 人 任何 东西 ,直接 利用 银行 授权 的 持久 认证 和 用 户 未 清理 的 Cookie。 

这 里 的 问题 在 于 ,论坛 用 户 不 能 上 传 js 脚本 ,而 是 直接 利用 URL 来 诱骗 用 户 , 以 完成 
数据 操作 。 由 此 可 见 ,该 攻击 的 重点 在 于 要 知道 目标 站 点 和 目标 用 户 , 并 且 该 受害 站 点 没有 
使 用 更 多 的 授权 认证 。 对 于 Web 站 点 ,将 持久 化 的 授权 方法 (例如 Cookie) 切 换 为 瞬时 的 授 
权 方 法 (在 每 个 form 中 提供 隐藏 field) ,这 将 帮助 网 站 防止 这 些 攻击 。 一 种 类 似 的 方式 是 
在 form 中 包含 秘密 信息 将 用 户 指 定 的 代号 作为 cookie 之 外 的 验证 。 


4. CSRF 攻击 的 防御 手段 


CSRF 的 防范 机 制 有 很 多 种 ,防范 的 方法 也 根据 CSRF 攻击 方式 的 不 断 升级 而 不 断 演 
化 。 常 用 的 方法 是 检查 HTTP 头 部 Referer 信息 、 使 用 一 次 性 令 牌 .使 用 验证 图 片 等 手段 。 

(1) 检查 HTTP 头 部 Refer 信息 。 这 是 防止 CSRF 的 最 简单 容易 实现 的 一 种 手段 。 根 
据 RFC 对 于 HTTP 协议 里 面 Refer 的 定义 ,Referer 信息 跟随 出 现在 每 个 HTTP 请 求 头 
部 。Serve 端 在 收 到 请 求 之 后 ,检查 该 请 求 的 头 部 信息 ,只 接受 来 自 本 域 的 请 求 而 忽略 外 
部 域 的 请 求 , 这 样 就 可 以 避免 很 多 风险 。 当 然 这 种 检查 方式 由 于 过 于 简单 而 有 它 自身 的 
弱点 。 

Oa 检查 Refer 信息 并 不 能 防范 来 自 本 域 的 攻击 。 在 企业 业务 网 站 上 ,经 常会 有 同 域 的 
论坛 邮件 等 形式 的 Web 应 用 程序 存在 ,来 自 这 些 地 方 的 CSRF 攻击 所 携带 的 就 是 本 域 的 
Refer 域 信息 ,因此 不 能 被 这 种 防御 手段 所 阻止 。 

@ 某 些 直接 发 送 HTTP 请 求 的 方式 可 以 伪造 一 些 Refer 信息 。 由 于 某 些 原因 ,会 出 
现 Referer 头 部 可 能 为 空 的 现象 。 虽 然 直 接 进行 头 信息 伪造 的 方式 属于 直接 发 送 请 求 ,很 
难 跟随 发 送 的 Cookie, 但 由 于 目前 客户 端 手段 层出不穷 ,flash Javascript 等 大 规模 使 用 ， 
从 客户 端 进行 Referer 的 伪造 ,尤其 是 客户 端 浏 览 器 安装 大 量 插件 的 情况 下 已 经 变 成 现 
实 了 。 

(2) 使 用 一 次 性 令 牌 ,这 是 当前 Web 应 用 程序 的 设计 人 员 广 泛 使 用 的 一 种 方式 。 对 于 
GET 请 求 , 在 URL 里 面 加 入 一 个 令 牌 ,对 于 POST 请 求 ,在 隐藏 域 中 加 入 一 个 令 牌 。 这 个 
令 牌 由 Server 端 生成 ,由 编程 人 员 控制 在 客户 端 发 送 请 求 的 时 候 使 请 求 携带 本 令 牌 ,然后 
在 Serve 端 进行 验证 。 

(3) 二 次 密码 验证 。 简 单 而 可 靠 的 方法 是 要 求 用 户 在 与 服务 端 交互 或 者 服务 状态 改变 
时 再 次 输入 只 有 用 户 可 知 的 密码 。 此 方法 比较 有 效 , 但 是 给 用 户 带 来 不 便 。 由 攻击 者 伪造 
的 额外 请 求 不 会 被 发 起 ,因为 攻击 者 并 不 知道 用 户 的 密码 。 如 果 攻 击 者 知道 用 户 的 密码 ,也 
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就 没 必要 实施 CSRF 攻击 了 。 
5. CSRF 漏洞 检测 


检测 CSRF 漏洞 是 一 项 比较 烦琐 的 工作 ,最 简单 的 方法 就 是 抓 取 一 个 正常 请 求 的 数据 包 ， 
去 掉 Referer 字段 后 再 重新 提交 ,如 果 该 提交 还 有 效 ,那么 基本 上 可 以 确定 存在 CSRF 漏洞 。 

CSRF 漏洞 检测 原则 是 如 果 一 个 用 户 请 求 是 可 构造 的 ,那么 一 定 存在 CSRF 漏洞 。 

CSRF 漏洞 检测 思路 如 下 。 

(1) 通过 疏 虫 获取 表单 中 的 各 个 域 ; 

(2) 为 各 个 域 填充 有 效 的 参数 ; 

(3) 在 已 登录 的 前 提 下 ,构造 一 个 看 似 合法 的 request 并 提交 ; 

(4) 检查 返回 结果 与 正常 提交 的 结果 是 否 相同 。 

随 着 对 CSRF 漏洞 研究 的 不 断 深 入 ,不 断 涌现 出 一 些 专门 针对 CSRF 漏洞 进行 检测 的 
工具 ,如 CSRFTester .CSRF Request Builder 等 。 


6.2.4 拒绝 服务 攻击 
1. 拒绝 服务 攻击 定义 


DoS(Denial of Service) 即 拒绝 服务 。 造 成 DoS 的 攻击 行为 称 为 DoS 攻击 (拒绝 服务 攻 
击 )。 拒 绝 服务 攻击 是 攻击 者 利用 大 量 的 数据 包 “ 淹 没 "目标 主机 , 耗 尽 可 用 资源 乃至 系统 崩 
溃 ,而 无 法 对 合法 用 户 做 出 响应 。Web 应 用 程序 非常 容易 遭受 拒绝 服务 攻击 ,这 是 由 于 
Web 应 用 程序 本 身 无 法 区 分 正常 的 请 求 通信 和 恶意 的 通信 。 

分 布 式 拒绝 服务 攻击 (Distributed Denial of Service, DDoS) 是 攻击 者 利用 网 络 上 成 百 
上 千 的 代理 端 机 器 ( 倪 偶 机 ) 一 一 即 被 利用 主机 ,对 攻击 目标 发 动 威力 巨大 的 拒绝 服务 攻击 。 
其 目标 是 “瘫痪 敌人 ”, 而 不 是 传统 的 破坏 和 和 穷 密 。 

攻击 者 在 客户 端 通过 Telnet 之 类 的 常用 连接 软件 ,向 主 控 端 (master) 发 送 对 目标 主机 
的 攻击 请 求 命 令 。 主 控 端 侦 听 接收 攻击 命令 ,并 把 攻击 命令 传 到 代理 端 ,代理 端 是 执行 攻击 
的 角色 , 收 到 命令 立即 发 起 flood 攻击 。 分 布 式 拒绝 服务 攻击 的 原理 如 图 6-9 所 示 。 


QB 


图 6-9 DDoS 攻击 原理 
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受到 拒绝 服务 攻击 时 的 现象 如 下 。 

(1) 被 攻击 主机 上 有 大 量 等 待 的 TCP 连接 ; 

(2) 被 攻击 主机 的 系统 资源 被 大 量 占 用 ,造成 系统 停顿 ; 

(3) 网 络 中 充斥 着 大 量 的 无 用 的 数据 包 , 源 地 址 为 假 地 址 ; 

(4) 高 流量 无 用 数据 使 得 网 络 拥塞 ,受害 主机 无 法 正常 与 外 界 通 信 ; 

(5) 利用 受害 主机 提供 的 服务 或 传输 协议 上 的 缺陷 ,反复 高 速 地 发 出 特定 的 服务 请 求 ， 
使 受害 主机 无 法 及 时 处 理 所 有 正常 请 求 ; 

(6) 严重 时 会 造成 系统 死机 。 


2. 常见 的 拒绝 服务 攻击 


(1) SYN Foold 

SYN Flood(SYN 洪水 攻击 ) 是 当前 最 流行 的 拒绝 服务 攻击 方式 之 一 。 它 是 利用 TCP 
协议 缺陷 ,发 送 大 量 伪造 的 TCP 连接 请 求 ,使 被 攻击 方 资源 (CPU、 内 存 等 ) 耗 尽 的 攻击 
方式 。 

SYN Flood 拒绝 服务 攻击 就 是 通过 TCP 协议 中 的 三 次 握手 而 实现 的 。 其 原理 是 : 
TCP 连接 的 三 次 握手 中 ,如 果 一 个 用 户 向 服务 嚣 发送 了 SYN 报 文 后 突然 死机 或 掉 线 ,那么 
服务 器 在 发 出 SYN 十 ACK 应 答 报 文 后 就 无 法 收 到 客户 端的 ACK 报 文 (第 三 次 握手 无 法 完 
成 ) 。 这 种 情况 下 服务 器 端 通常 会 重 试 ( 再 次 发 送 SYN 十 ACK 给 客户 端 ) 并 等 待 一 段 时 间 
后 丢弃 这 个 未 完成 的 连接 。 这 段 时 间 的 长 度 称 为 SYN Timeout, 一 般 来 说 这 个 时 间 大 约 为 
30 秒 至 2 分 钟 。 同 时 ,对 于 每 个 连接 ,服务 器 会 分 配 必 要 的 内 存 资源 来 存放 所 使 用 的 协议 、 
地 址 、 端 口号 等 信息 。 当 一 个 服务 器 收 到 大 量 的 SYN 包 时 ,就 会 为 这 些 连 接 分 配 必 要 的 内 
存 资源 ,这 些 半 连 接 将 耗 尽 系统 的 内 存 资源 和 CPU 时间, 从 而 无 法 响应 客户 的 正常 请 求 。 

(2) UDP 洪水 攻击 

攻击 者 利用 简单 的 TCP/IP 服务 ,如 Chargen 和 Echo 来 传送 毫 无 用 处 的 占 满 带宽 的 数 
据 。 通 过 伪造 与 某 一 主机 的 Chargen 服务 之 间 的 一 次 UDP 连接 ,回复 地 址 指向 开 着 Echo 
服务 的 一 台 主 机 ,这 样 就 造成 在 两 台 主 机 之 间 存 在 很 多 的 无 用 数据 流 ,这些 无 用 数据 流 就 会 
导致 带宽 的 服务 攻击 。 

(3) IP 欺骗 拒绝 服务 攻击 

IP 欺骗 性 攻击 是 利用 RST 位 来 实现 的 。 假 设 有 一 个 合法 用 户 已 经 同 服务 器 建立 了 正 
常 的 连接 ,攻击 者 构造 攻击 的 TCP 数据 ,伪装 自己 的 IP 与 合法 用 户 的 IP 一 致 ,并 向 服务 器 
发 送 一 个 带 有 RST 位 的 TCP 数据 段 。 服 务 器 接收 到 这 样 的 数据 后 ,认为 从 合法 用 户 发 送 
的 连接 有 错误 ,就 会 清空 缓冲 区 中 建立 好 的 连接 。 这 时 ,如 果 合 法 用 户 再 发 送 合法 数据 , 服 
务 器 就 已 经 没有 这 样 的 连接 了 ,该 用 户 就 必须 重新 开始 建立 连接 。 攻 击 时 ,攻击 者 会 伪造 大 
量 的 IP 地址 ,向 目标 发 送 RST 数据 ,使 服务 器 不 对 合法 用 户 服务 ,从 而 实现 了 对 受害 服务 
器 的 拒绝 服务 攻击 。 

(4) Smurf 攻击 

Smurf 是 一 种 具有 放大 效果 的 DoS 攻击 .具有 很 大 的 危害 性 。 这 种 攻击 形式 利用 了 
TCP/IP 中 的 定向 广播 特性 。Smurf 攻击 过 程 中 有 三 个 角色 : 受害 者 ,帮凶 (放大 网 络 , 即 具 
有 广播 特性 的 网 络 ) 和 攻击 者 ,如 图 6-10 所 示 。 攻 击 者 用 广播 的 方式 发 送 回 复 地 址 为 受害 
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者 地 址 的 ICMP 请 求 数 据 包 ,由 于 广播 的 原因 ,每 个 收 到 这 个 数据 包 的 主机 都 进行 回应 ,大 
量 的 回复 数据 包 发 给 受害 者 ,从 而 导致 受害 主机 不 堪 重 负 而 崩溃 。 


ICMP 请 求 


ICMP 响 应 


图 6-10 Smnurf 攻击 原理 


如 果 在 网 络 内 检测 到 目标 地 址 为 广播 地 址 的 ICMP 包 , 证 明 内 部 有 人 发 起 了 这 种 攻击 
(或 者 是 被 用 作 攻 击 ,或 者 是 内 部 人 员 所 为 )。 如 果 ICMP 包 的 数量 在 短 时 间 内 上 升 许多 ( 正 
常 的 ping 程序 每 隔 一 秒 发 一 个 ICMP echo 请 求 ) ,证 明 有 人 在 利用 这 种 方法 攻击 系统 。 为 
了 防止 被 攻击 ,在 防火 墙 上 过 滤 掉 ICMP 报 文 ,或 者 在 服务 器 上 禁止 ping, 并 且 只 在 必要 时 
才 打 开 ping 服务 。 

(5) Land 攻击 

Land 攻击 是 用 一 个 特别 打造 的 SYN 包 , 它 的 源 地 址 和 目标 地 址 都 被 设置 成 某 一 个 服 
务 器 地 址 。 此 举 将 导致 接收 服务 器 向 它 自 己 的 地 址 发 送 SYN 十 ACK 消息 ,结果 这 个 地 址 
又 发 回 ACK 消息 并 创建 一 个 空 连接 。 被 攻击 的 服务 器 每 接收 一 个 这 样 的 连接 都 将 保留 ， 
直到 超时 。 这 将 耗费 系统 大 量 资 源 。 预 防 Land 攻击 最 好 的 办 法 是 配置 防火 墙 ,对 那些 在 
外 部 接口 和 站 的 含有 内 部 源 地 址 的 数据 包 进 行 过 滤 。 

(6) ping 洪流 攻击 

由 于 在 早期 的 阶段 ,路 由 器 对 包 的 最 大 尺寸 都 有 限制 。 许 多 操作 系统 对 TCP/IP 栈 的 
实现 在 ICMP 包 上 都 是 规定 64KB, 并 且 在 对 包 的 标题 头 进行 读 取 之 后 ,要 根据 该 标题 头 里 
包含 的 信息 来 为 有 效 载 荷 生成 缓冲 区 。 当 产生 畸形 的 ,声称 自己 的 尺寸 超过 ICMP 上 限 的 
包 也 就 是 加 载 的 尺寸 超过 64KB 上 限时 ,就 会 出 现 内 存 分 配 错误 ,导致 TCP/IP 堆栈 崩溃 ， 
致使 接受 方 死 机 。 


3. 拒绝 服务 攻击 的 防范 


防范 拒绝 服务 攻击 的 方法 有 : 

(1) 安装 防火 墙 ,禁止 访问 不 该 访问 的 服务 端口 ,过 滤 不 正常 的 畸形 数据 包 , 使 用 NAT 
隐藏 内 部 网 络 结构 。 

(2) 安装 人 侵 检测 系统 ,检测 拒绝 服务 攻击 行为 。 

(3) 安装 安全 评估 系统 , 先 于 人 侵 者 进行 模拟 攻击 ,以便 及 早 发 现 问题 并 解决 。 

(4) 提高 安全 意识 ,经 常 给 操作 系统 和 应 用 软件 打 补 丁 。 
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6.2.5 Cookie 欺骗 
1. Cookie 欺骗 


为 了 方便 用 户 浏览 和 准确 收集 访问 者 信息 ,很 多 网 站 都 采用 了 Cookie 技术 。Cookie 
是 Web 服务 器 存放 在 客户 端 计算 机 的 一 些 信息 ,主要 用 于 客户 端 识别 或 身份 识别 等 。 

Cookie 欺骗 是 攻击 者 通过 修改 存放 在 客户 端的 Cookie 来 达到 欺骗 服务 器 认证 的 目 
的 。Cookie 欺骗 实现 的 前 提 条 件 是 服务 器 的 验证 程序 存在 漏洞 ,并 且 冒 充 者 要 获得 被 冒充 
的 人 的 Cookie 信息 。 

实现 基于 HTTP Cookie 攻击 的 前 提 是 目标 系统 在 Cookie 中 保存 了 用 户 ID、 凭 证、 状 
态 等 其 他 可 以 用 来 进行 攻击 的 信息 。 通 常 的 攻击 方式 有 如 下 三 种 。 

(1) 直接 访问 Cookie 文件 查找 想 要 的 机 密 信息 。 

(2) 在 客户 端 和 服务 端 进行 Cookie 信息 传递 时 进行 截取 ,进而 冒充 合法 用 户 进行 
操作 。 

(3) 攻击 者 修改 Cookie 信息 (逻辑 判断 信息 、 数 字 类 型 信息 ) ,在 服务 端 接收 到 客户 端 
获取 的 Cookie 信息 时 ,就 会 对 攻击 者 伪造 过 的 Cookie 信息 进行 操作 。 

获取 Cookie 信息 的 主要 途径 : 

(1) 直接 读 取 磁 盘 的 Cookie 文件 。 

(2) 使 用 网 络 嗅 探 器 来 获取 网 络 上 传输 的 Cookie。 

(3) 使 用 一 些 Cookie 管理 工具 获取 内 存 或 者 文件 系统 中 的 Cookie。 

(4) 使 用 跨 站 脚本 来 盗 取 Cookie。 


2. Cookie 欺骗 和 注入 的 防御 


(1) 增强 Cookie 代码 实现 

@ 使 用 Cookie 十 Session 混合 存储 ; 

@ 随机 数 机 制 防范 Cookies 欺骗 ; 

@ 不 要 在 Cookie 中 保存 没有 经 过 加 密 的 或 者 容易 被 解密 的 敏感 信息 ; 

@ 对 从 客户 端 取 得 的 Cookie 信息 进行 严格 校 验 ; 

加 使 用 SSL/TLS 来 传递 Cookie 信息 。 

(2) Cookie 注入 防范 

@ 删除 Cookie 记录 

在 I 下 浏览 器 中 选择 [工具 >【Internet 选项 ] 菜 单项 ,打开 【Internet 选项 ] 对 话 框 , 单 击 
【删除 Cookies] 按 钮 ,将 弹出 【删除 Cookies] 提 示 框 , 单 击 【 确 定 ] 按 钮 , 即 可 删除 本 机 中 的 
Cookies 文件 。 也 可 借助 相应 安全 软件 来 实现 Cookie 记录 的 删除 ,如 360 安全 卫士 .瑞星 上 
网 安全 助手 、Windows 优化 大 师 等 。 

@ 更 改 Cookie 文件 的 保存 位 置 

在 【Internet 选项 ] 对 话 框 中 单 击 [ 设 置 ] 按 钮 , 即 可 打开 【设置 对 话 框 , 单 击 【移动 文件 
夹 ] 按 钮 ,将 打开 【浏览 文件 夹 ] 对 话 框 . 在 其 中 设置 相应 保存 位 置 (如 FF:\) , 单 击 【确定 ] 按 
钮 , 即 可 成 功 更 改 Cookie 文件 的 保存 位 置 。 
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@ 添加 防 注入 代码 
利用 MD5 加 密 Cookie, 或 者 结合 Session 加 密 Cookie。 


6.2.6 其 他 攻击 
1. 缓冲 区 溢出 


缓冲 区 溢出 是 指 当 计算 机 向 缓冲 区 内 填充 数据 时 超过 了 缓冲 区 本 身 的 容量 ,部 分 数据 就 
会 溢出 到 堆栈 中 。 缓 冲 区 溢出 攻击 是 攻击 者 在 程序 的 缓冲 区 中 写 超出 其 长 度 的 内 容 , 造 成 组 
冲 区 的 溢出 ,从 而 破坏 程序 的 堆栈 ,使 程序 转 而 执行 攻击 者 预 设 的 指令 ,以 达到 攻击 的 目的 。 

缓冲 区 溢出 攻击 可 以 导致 程序 运行 失败 .系统 崩溃 。 更 为 严重 的 是 ,可 以 利用 它 执行 非 
授权 指令 ,甚至 可 以 取得 系统 特权 ,进而 进行 各 种 非法 操作 。 

造成 缓冲 区 溢出 问题 通常 有 以 下 两 种 原因 。 

一 是 设计 空间 的 转换 规则 的 校 验 问题 。 即 缺乏 对 可 测 数据 的 校 验 ,导致 非法 数据 没有 
在 外 部 输入 层 被 检查 出 来 并 丢弃 。 非 法 数据 进入 接口 层 和 实现 层 后 ,由 于 它 超 出 了 接口 层 
和 实现 层 的 对 应 测试 空间 或 设计 空间 的 范围 ,从 而 引起 溢出 。 

二 是 局 部 测试 空间 和 设计 空间 不 足 。 当 合法 数据 进入 后 ,由 于 程序 实现 层 内 对 应 的 测 
试 空间 或 设计 空间 不 足 , 导 致 程序 处 理 时 出 现 溢出 。 

测试 缓冲 区 溢出 问题 时 ,需要 对 用 户 可 能 输入 的 地 方 尝试 不 同 长 度 的 数据 输入 ,以 验证 
程序 在 各 种 情况 下 正确 地 处 理 了 用 户 的 输入 数据 ,而 不 会 导致 异常 或 溢出 问题 。 也 可 以 通 
过 代码 审查 来 发 现 这 类 问题 ,或 利用 一 些 工具 来 帮助 检查 这 类 问题 。 


2. XML 注入 


和 SQL 注入 原理 一 样 ,XML 是 存储 数据 的 地 方 , 如 果 在 查询 或 修改 时 ,如 果 没有 做 转 
义 , 而 是 直接 输入 或 输出 数据 ,都 将 导致 XML 注入 漏洞 。 攻 击 者 可 以 修改 XML 数据 格式 ， 
增加 新 的 XML 节点 ,对 数据 处 理 流程 产生 影响 。 


3. 文件 上 传 漏洞 


Web 应 用 程序 在 处 理 用 户 上 传 的 文件 时 ,没有 判断 文件 的 扩展 名 是 否 在 允许 的 范围 
内 ,或 者 没 检测 文件 内 容 的 合法 性 ,就 把 文件 保存 在 服务 器 上 ,甚至 上 传 带 木 马 的 文件 到 
Web 服务 器 上 ,导致 黑客 直接 控制 Web 服务 器 。 


4. 目录 遍历 漏洞 


由 于 变量 过 滤 不 严 与 服务 器 的 配置 失误 ,导致 黑客 利用 该 文件 的 文件 操作 函数 对 任意 
文件 进行 访问 。 如 果 存 在 目录 遍历 漏洞 ,攻击 者 就 可 以 获取 数据 库 链接 文件 源码 ,获得 系统 
敏感 文件 内 容 , 甚 至 对 文件 进行 写 和 人、 删除 等 操作 。 


6.3 Web 安全 测试 


安全 性 测试 (Security Testing) 是 有 关 验 证 应 用 程序 的 安全 服务 和 识别 潜在 安全 性 缺 
陷 的 过 程 。 安 全 性 测试 的 目的 是 查找 程序 设计 中 存在 的 安全 隐患 ,并 检查 应 用 程序 对 非法 
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入 侵 的 防范 能 力 。 系 统 要 求 的 安全 指标 不 同 , 其 安全 测试 策略 也 不 同 。 

需要 注意 的 是 : 安全 性 测试 并 不 最 终 证 明 应 用 程序 是 安全 的 ,而 是 用 于 验证 所 设立 策 
略 的 有 效 性 ,这 些 策 略 是 基于 威胁 分 析 阶 段 所 做 的 假设 而 选择 的 。 例 如 ,测试 应 用 软件 在 防 
止 非 授权 的 内 部 或 外 部 用 户 的 访问 或 故意 破坏 等 情况 时 的 运作 。 


6.3.1 Web 安全 测试 方法 
1. 功能 验证 


功能 验证 是 采用 软件 测试 当中 的 黑 盒 测试 方法 ,对 涉及 安全 的 软件 功能 ,如 用 户 管理 模 
块 .权限 管理 模块 .加 密 系统 、 认 证 系统 等 进行 测试 ,主要 验证 上 述 功 能 是 否 有 效 ,具体 方法 
可 使 用 黑 盒 测 试 方法 。 


2. 漏洞 扫描 


漏洞 扫描 通常 借助 于 特定 的 漏洞 扫描 器 来 完成 。 漏 洞 扫描 器 是 一 种 自动 检测 远程 或 本 
地 主机 安全 性 弱点 的 程序 。 漏 洞 扫描 可 以 用 于 日 常安 全 防护 ,也 可 以 作为 对 软件 产品 或 信 
息 系统 进行 测试 的 手段 ,可 以 在 安全 漏洞 造成 严重 危害 前 ,发现 漏 洞 并 加 以 防范 。 

目前 Web 安全 扫描 器 针对 XSS、SQL injection \.OPEN redirect\PHP File Include 漏洞 
的 检测 技术 已 经 比较 成 熟 。 商 业 软 件 Web 安全 扫描 器 有 IBM Rational Appscan、 
WebInspect、Acunetix WVS 等 。 免 费 的 扫描 器 有 W3af、Skipfish 等 。 

测试 时 ,可 以 先 对 网 站 进行 大 规模 的 扫描 操作 ,工具 扫描 确认 没有 漏洞 或 者 漏洞 已 经 修 
复 后 ,再 进行 以 下 手工 检测 。 


3. 模拟 攻击 


模拟 攻击 是 使 用 自动 化 工具 或 者 人 工 的 方法 模拟 黑客 的 攻击 方法 ,对 应 用 系统 进行 攻 
击 性 测试 ,从 中 找 出 系统 运行 时 存在 的 安全 漏洞 ,验证 系统 的 安全 防护 能 力 。 这 种 测试 的 特 
点 是 真实 有 效 ,一 般 找 出 来 的 问题 都 是 正确 的 ,也 是 较为 严重 的 。 但 模拟 攻击 测试 有 一 个 致 
命 的 缺点 就 是 模拟 的 测试 数据 只 能 到 达 有 限 的 测试 点 ,覆盖 率 很 低 。 

模拟 攻击 测试 的 内 容 包括 冒充 .重演 、 消 息 自 改 ,. 拒 绝 服务 .内 部 攻击 .外 部 攻击 、 木 
马 等 。 


4. 侦 听 技术 


侦 听 技术 实际 上 是 在 数据 通信 或 数据 交互 过 程 , 对 数据 进行 截取 分 析 的 过 程 。 目 前 
最 为 流行 的 是 网 络 数据 包 的 捕获 技术 ,通常 称 为 Capture, 黑 客 可 以 利用 该 技术 实现 数据 
的 盗用 ,而 测试 人 员 同 样 可 以 利用 该 技术 实现 安全 测试 。 该 技术 主要 用 于 对 网 络 加 密 的 


6.3.2 Web 安全 测试 内 容 
Web 系统 的 安全 性 测试 可 从 以 下 几 个 方面 人 手 。 
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1. 应 用 程序 部 署 环境 测试 


(1) HTTP 请 求 的 测试 

超 长 URL 的 HTTP 请 求 .特殊 格式 字符 的 HTTP 请 求 , 某 些 不 存在 文件 的 HTTP 请 
求 ,COM Internet Services (CIS) -RPC over HTTP 漏洞 ,从 而 引发 拒绝 服务 、 源 代码 显示 、 
站 点 物理 路 径 泄露 .执行 任意 命令 及 命令 注入 等 安全 问题 。 因 此 ,对 非常 规 URL 的 HTTP 
请 求 做 全 面 的 测试 ,以 发 现 此 类 漏洞 。 

(2) 目录 安全 性 测试 

目录 权限 和 目录 安全 性 直接 影响 着 Web 的 安全 性 。 测 试 中 要 检查 Web 应 用 程序 部 署 环 
境 的 目录 权限 和 安全 性 ,不 给 攻击 者 任何 可 用 的 权限 。 目 录 遍 历 可 能 导致 用 户 从 客户 端 看 到 
或 操作 Web 服务 器 文件 。 因 此 要 测试 Web 应 用 程序 及 部 署 环 境 是 否 存 在 目录 遍历 问题 。 

(3) 危险 组 件 的 测试 

系统 中 危险 组 件 的 存在 ,会 给 恶意 用 户 留 下 非常 危险 的 “后 门 >。 如 恶意 用 户 可 利用 
Windows 系统 中 存在 的 File System Object 组 件 自 改 、 下 载 或 删除 服务 器 中 的 任何 文件 。 

(4) TCP 端口 测试 

开放 非 必 要 的 端口 ,会 给 Web 应 用 程序 带 来 安全 威胁 。 因 此 ,在 部 署 Web 应 用 程序 
前 ,要 用 端口 扫描 软件 对 部 署 环境 进行 TCP 端口 测试 ,禁止 UDP, 只 开启 必要 的 TCP 端 
口 。 在 系统 运行 过 程 中 要 不 断 测试 ,在 服务 器 端 使 用 工具 扫描 端口 使 用 情况 ,必要 时 从 远程 
使 用 Nmap 工具 进行 异常 端口 占用 检测 。 若 发 现 有 未 知 的 进程 占用 端口 ,要 关闭 端口 或 杀 
掉 进 程 。 


2. 应 用 程序 测试 


应 用 程序 中 存在 的 漏洞 是 影响 Web 安全 的 主要 方面 ,是 软件 安全 性 测试 的 重点 。 

(1) SQL 注入 测试 

SQL 注入 是 利用 SQL 语法 ,对 应 用 程序 中 的 漏洞 的 攻击 。 为 防止 SQL 注入 ,程序 员 
编写 代码 时 ,要 对 客户 端 和 服务 端 进行 两 级 检查 。 检 查 数据 类 型 .数据 长 度 和 敏感 字符 的 合 
法 性 。 

SQL 注入 测试 可 以 采用 手工 方式 和 自动 化 方式 。 但 手工 测试 不 适用 于 大 型 Web 应 用 
程序 ,可 使 用 WebInspect\Wikto WebScarab、Nikto、AppScan 等 工具 进行 扫描 ,测试 系统 是 
否 存在 SQL 注入 漏洞 。 

(2) 表单 漏洞 测试 

表单 提交 的 数据 的 验证 和 服务 器 端 数据 接收 的 方法 直接 影响 到 Web 系统 的 安全 。 

表单 提交 数据 的 测试 主要 检查 程序 中 是 否 对 表单 所 提交 数据 的 完整 性 、 正 确 性 进行 了 
验证 ,检查 程序 中 是 否 屏蔽 了 表单 提交 的 HTML 语句 、VBScript 和 JavaScript 等 客户 端 脚 
本 语句 ,检查 是 否 会 出 现 “ 脚 本 利用 ”问题 ,检查 程序 是 否 对 表单 域 长 度 进行 了 真正 的 限制 ， 
检查 是 否 存在 重复 提交 数据 的 问题 .检查 这 些 验证 是 否 在 服务 器 端 进行 。 若 在 测试 中 发 现 
数据 完整 性 .正确 性 验证 只 是 在 客户 端 进行 .应 在 服务 器 端 增加 对 表单 提交 数据 的 验证 , 防 
止 出 现 本 地 提交 表单 的 漏洞 。 

为 防止 表单 漏洞 的 攻击 ,编程 时 应 有 一 个 中 心 化 的 ,强大 的 验证 机 制 来 对 所 有 HTTP 
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请 求 的 输入 进行 验证 ,过 滤 可 能 危及 后 台数 据 库 的 特殊 字符 ,和 脚本 语言 和 命令 。 为 防止 攻击 
者 绕 过 客户 端的 安全 机 制 ,对 这 些 字符 的 检测 应 在 Web 服务 端 实现 ,采用 清除 或 者 强制 蔡 
换 的 方法 避免 服务 器 端的 安全 漏洞 ,并 且 使 用 MD5 哈 希 (hash) 函数 或 者 时 间 惟 数字 签名 
技术 对 客户 端 敏感 数据 进行 完整 性 保护 。 

(3) Cookie 测试 

检查 Cookies 在 生存 期 内 能 否 正常 工作 ,是 否 加 密 , 是 否 按 预定 的 时 间 进 行 保存 ,是 否 
存在 Cookie 可 被 伪造 提交 的 问题 ,刷新 对 Cookie 有 什么 影响 及 过 期 处 理 等 。 

(4) 身份 验证 测试 

用 户 身份 验证 测试 主要 检查 无 效 的 用 户 名 和 密码 能 否 登 录 ,密码 是 否 对 大 小 写 敏 感 ,是 
和 否 有 验证 次 数 的 限制 ,是否 存在 不 验证 而 直接 进入 Web 应 用 系统 的 问题 ,客户 端 提 交 的 密 
码 是 否 加 密 等 。 用 户 身 份 验证 测试 一 般 使 用 手工 和 测试 工具 相 结 合 的 方法 。 

(5) 文件 上 传 /下 载 测试 

若 系统 有 上 传 文件 的 功能 ,测试 系统 是 否 允 许 上 传 脚 本 文件 .可 执行 文件 等 可 能 给 系统 
带 来 危害 的 文件 。 若 有 下 载 功能 ,可 供 下 载 的 文件 是 否 与 系统 文件 分 别 存放 ,是 否 存在 数据 
库 文件 ,包含 文件 和 页 面 文件 下 载 的 可 能 。 

(6) Session 测试 

Session 测试 主要 检查 Web 应 用 系统 是 否 有 超时 的 限制 ,也 就 是 检查 用 户 登 录 后 在 一 
定时 间 内 没有 点 击 任何 页 面 ,是 否 需 要 重新 登录 才能 正常 使 用 。 检 查 超时 后 能 否 自动 退出 ， 
退出 之 后 ,浏览 器 回 退 按钮 是 否 可 以 回 到 登录 页 面 。 

(7) 跨 网 站 脚本 攻击 测试 

对 于 跨 站 脚本 攻击 (XSS) ,可 借助 于 专用 的 安全 测试 工具 进行 测试 。 

(8) 命令 注射 漏洞 测试 

命令 注射 漏洞 测试 主要 检查 所 有 调用 外 部 资源 (例如 system、exec,fork, 或 者 所 有 的 发 
出 请 求 的 语法 ) 的 源 代码 ,查找 那些 来 自 于 HTTP 请 求 的 输入 可 能 发 起 调用 的 所 有 地 方 。 

(9) 日 志文 件 测试 

日 志文 件 测试 主要 检查 Web 运行 的 相关 信息 是 否 写 进 了 日 志文 件 ,是 否 可 追踪 ,是 否 
记录 了 系统 运行 中 发 生 的 所 有 错误 ,是 否 记 录 了 用 户 的 详细 信息 ,包括 用 户 的 浏览 器 、 用 户 
停留 的 时 间 、 用 户 IP 等 。 

(10) 访问 控制 策略 测试 

访问 控制 策略 测试 主要 检查 管理 接口 是 否 只 有 授权 的 用 户 才能 进行 访问 ,支持 多 种 管 
理 角色 的 网 站 接口 往往 是 内 部 或 者 外 部 攻击 者 的 攻击 目标 。 


3. 数据 库 测 试 


数据 库 在 Web 应 用 中 起 着 至 关 重 要 的 作用 ,数据 库 安全 性 测试 是 Web 测试 的 一 个 重 
要 方面 。 前 面 已 提 到 过 SQL 注入 和 跨 站 点 脚本 攻击 ,下面 只 讨论 数据 库 本 身 及 数据 库 使 用 
方面 的 问题 。 

(1) 数据 库 名 称 和 存放 位 置 安全 测试 

使 用 常规 的 数据 库 名 称 , 并 存放 在 与 Web 应 用 程序 文件 相同 或 相关 的 位 置 ,将 很 容易 
被 下 载 。 若 程序 代码 中 包含 数据 库 名 称 和 数据 库 文件 绝对 位 置 , 一 旦 代码 丢失 ,同样 存在 暴 


第 6 章 Web 安全 性 测试 


露 的 危险 。 因 此 ,在 部 署 数据 库 和 编写 相关 代码 时 ,要 避免 问题 的 发 生 。 

(2) 数据 库 本 身 的 安全 测试 

对 数据 库 本 身 的 安全 测试 主要 检查 数据 库 是 否 配 置 了 不 同 的 存 取 权限 ,所 有 操作 是 否 
都 可 以 审计 追踪 ,敏感 数据 是 否 加 密 等 。 为 了 保证 数据 库 的 安全 ,不 同 权限 的 用 户 定义 不 同 的 
视图 ,以 限制 用 户 的 访问 范围 ; 不 同 的 敏感 数据 采取 不 同 的 加 密 算 法 ,重要 的 数据 分 开 存储 。 

(3) 数据 一 致 性 和 完整 性 测试 

Web 应 用 系统 中 ,使 用 数据 库 时 ,可 能 发 生 数据 的 一 致 性 和 完整 性 错误 。 因 此 ,需要 检查 
系统 中 是 否 有 事务 管理 和 故障 恢复 功能 ,确认 事务 数据 保存 正确 ,并 具备 定期 数据 备份 功能 。 

(4) 数据 备份 与 恢复 测试 

为 预防 系统 意外 崩溃 造成 的 数据 丢失 ,备份 与 恢复 手段 是 Web 系统 的 必 备 功能 。 根 据 
Web 系统 对 安全 性 的 要 求 不 同 , 备 份 与 恢复 数据 可 以 采用 多 种 手段 ,如 数据 库 增 量 备份 、. 数 
据 库 完全 备份 ,系统 完全 备份 等 。 出 于 更 高 的 安全 性 要 求 , 某 些 实时 系统 经 常会 采用 双 机 热 
备份 或 多 级 热 备份 。 


4. 容错 测试 


用 户 在 访问 Web 网 站 时 ,可 能 会 出 现 错误 ,如 数据 库 不 可 用 ,链接 超时 、 页 面 不 存在 、 内 
存 溢出 ,指针 异常 等 。 一 般 情况 下 ,错误 处 理 都 会 返回 一 些 信息 给 用 户 , 返 回 的 出 错 信息 可 
能 会 被 恶意 用 户 利用 来 进行 攻击 。 不 当 的 出 错 处 理 可 能 给 网 站 带 来 各 种 各 样 的 安全 问题 ， 
因此 ,要 对 Web 应 用 程序 的 错误 处 理 进行 测试 ,以 保证 为 用 户 提 供 有 用 的 出 错 信 息 , 并 避免 
所 给 出 的 信息 被 攻击 者 利用 。 

(1) 容错 方案 及 方案 一 致 性 测试 

出 错 处 理应 该 在 整个 网 站 中 保持 一 致 性 ,并 且 每 一 个 出 错 处 理 片断 都 应 该 是 一 个 整体 设 
计 方 案 中 的 一 部 分 。 通 过 代码 检查 ,测试 系统 差错 处 理 方案 是 否 合理 .方案 是 否 可 以 处 理 所 有 
可 能 发 生 的 错误 方案 中 是 否 存在 泄露 设计 细节 的 问题 .是 否 存在 不 同 的 差错 处 理 方案 。 

(2) 接口 容错 测试 

检测 浏览 器 与 服务 器 的 接口 是 否 正确 。 中 断 用 户 到 服务 器 的 网 络 连接 时 ,系统 是 否 能 
够 正确 处 理 数据 。 对 于 有 外 部 接口 的 Web 系统 ,如 网 上 商店 可 能 要 实时 验证 信用 卡 数据 以 
减少 欺诈 行为 的 发 生 , 中 断 Web 服务 器 到 信用 卡 验证 服务 器 的 连接 ,检测 系统 是 否 能 够 正 
确 处 理 这 些 错 误 ,是 否 对 信用 卡 进行 收费 。 另 外 ,还 要 测试 系统 是 否 能 够 处 理 外 部 服务 器 返 
回 的 所 有 可 能 的 消息 。 

(3) 压力 测试 

此 处 的 压力 测试 是 测试 Web 应 用 系统 在 重负 载 下 会 不 会 崩溃 ,在 什么 情况 下 会 崩溃 。 
黑客 常常 提供 错误 的 数据 负载 ,直到 Web 应 用 系统 崩溃 ,并 在 系统 重新 启动 时 获得 存 取 权 。 


6.3.3 Web 安全 测试 常见 的 检查 点 
1. 网 页 安全 检查 点 


(1) 输入 的 数据 没有 进行 有 效 的 控制 和 验证 
中 数据 类 型 (字符 串 , 整 型 ,实数 等 ); 
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@ 允许 的 字符 集 ; 

@ 最 小 和 最 大 的 长 度 ; 

@ 是 否 允 许 输入 为 空 ; 

人 参数 是 否 是 必需 的 ; 

是 否 人 允许 重复 ; 

@ 数值 范围 ; 

@ 特定 的 值 ( 枚 举 型 ); 

@ 特定 的 模式 (正则 表达 式 ) , 注 : 建议 尽量 采用 白 名 单 。 

(2) 用 户 名 和 密码 问题 

a 检测 接口 程序 连接 登录 时 ,是 否 需要 输入 相应 的 用 户 名 和 密码 ; 
@ 是 否 设 置 密 码 最 小 长 度 (密码 强度 ); 

@ 用 户 名 和 密码 中 是 否 可 以 有 空格 或 回 车 ; 

@ 是 否 允 许 密 码 和 用 户 名 一 致 ; 

名 是 否 可 防止 恶意 注册 ,是 否 可 用 填 表 工具 自动 注册 用 户 ; 

遗忘 密码 处 理 是 否 存在 安全 漏洞 ; 

@ 有 无 缺 省 的 超级 用 户 ( 如 admin,root 等 ); 

@ 有 无 超级 密码 ; 

是 否 有 校 验 码 ; 

@ 密码 错误 次 数 有 无 限制 ; 

@@ 用 户 名 、 密 码 大 小 写 是 否 敏感 ; 

鳃 口令 不 允许 以 明码 显示 在 输出 设备 上 ; 

加 强制 修改 的 时 间 间 隔 限 制 (如 初始 默认 密码 ) ; 

外 口令 过 期 失效 后 ,是 否 可 以 不 用 登录 而 直接 浏览 某 个 页 面 ; 

四 哪些 页 面 或 者 文件 需要 登录 后 才能 访问 /下 载 ; 

四 Cookie 或 隐藏 变量 中 是 否 含有 用 户 名 、 密 码 、userid 等 敏感 信息 ; 
@@ 用 户 登 录 是 否 有 次 数 限制 ; 

@ 是 否 限制 从 某 些 IP 地 址 登录 。 

(3) 网 页 权限 管理 问题 

@ 没有 登录 或 注销 登录 后 ,重新 输入 登录 后 才能 查看 页 面 的 网 址 ( 含 跳 转 页 面 ) ,检查 


能 否 直 接 打 开 此 页 面 ; 


@ 注销 后 , 单 击 浏览 器 上 的 后 退 键 ,是 否 可 以 进行 页 面 操作 ; 

@ 正常 登录 后 ,直接 输入 自己 没有 权限 查看 的 页 面 的 网 址 ,是 否 可 以 打开 页 面 ; 

@ 通过 HTTP 抓 包 方式 获取 HTTP 请 求 信息 包 , 经 改装 后 重新 发 送 ,是 否 有 效 ; 

@ 能 否 从 权限 低 的 页 面 退回 到 权限 高 的 页 面 (如 发 送 消息 后 ,浏览 器 后 退 到 信息 填写 


页 面 ,这 是 不 允许 的 )。 


(4) 上 传 文件 没有 限制 

中 上 传 文件 是 否 有 大 小 的 限制 ; 

@ 上 传 包含 木马 的 病毒 文件 等 ,系统 是 否 进行 检查 ; 
加 上 传 文件 是 否 有 格式 的 限制 。 
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(5) 不 安全 的 存储 

@ 在 页 面 输入 密码 ,页 面 应 显示 xxxxxxx 3 

@ 数据 库 中 存 的 密码 应 经 过 加 密 ; 

@ 地 址 栏 中 不 可 以 看 到 用 户 之 前 填写 的 密码 ; 

@ 右键 查看 源 文件 不 能 看 见 用 户 之 前 输入 的 密码 ; 

@@ 系统 不 应 该 允许 用 户 浏览 到 网 站 所 有 的 账号 ,如 果 必 须要 一 个 用 户 列表 ,推荐 使 用 
某 种 形式 的 假名 (屏幕 名 ) 来 指向 实际 的 账号 。 

(6) 操作 时 间 的 失效 性 

a 检测 系统 是 否 支持 操作 失效 时 间 的 配置 。 

@ 在 所 配置 的 时 间 内 没有 对 界面 进行 任何 操作 时 ,检测 系统 是 否 会 将 用 户 自动 失效 ， 
需要 重新 登录 系统 。 例 如 ,用 户 登 录 后 在 一 定时 间 内 (比如 15 分 钟 ) 没 有 点 击 任何 页 面 , 是 
否 需要 重新 登录 才能 正常 使 用 。 

(7) 日 志 完 整 性 

a 检测 系统 运行 时 是 否 会 记录 完整 的 日 志 。 如 进行 详 单 查询 ,检测 系统 是 否 会 记录 相 
应 的 操作 员 ,操作 时 间 、 系 统 状态 .操作 事项 IP 地 址 等 。 

@ 检测 对 系统 关键 数据 进行 增加 、 修 改 和 删除 时 ,系统 是 否 会 记录 相应 的 修改 时 间 、 操 
作 人 员 和 修改 前 的 数据 记录 。 

@ 日 志 是 否 记录 所 有 的 事务 处 理 , 是 否 记 录 失 败 的 注册 企图 ,是 否 记 录 被 资信 用 卡 的 
使 用 ,是 否 在 每 次 事务 完成 的 时 候 都 进行 保存 ,是 否 记 录 IP 地 址 ,是 否 记录 用 户 名 。 

(8) 不 恰当 的 异常 处 理 

程序 在 抛 出 异常 的 时 候 给 出 了 比较 详细 的 内 部 错误 信息 ,暴露 了 不 应 该 显示 的 执行 细 
节 , 使 网 站 存在 潜在 漏洞 。 

(9) 不 安全 的 配置 管理 

Config 中 的 链接 字符 串 以 及 用 户 人 信息、 邮件、 数据 存储 信息 都 需要 加 以 保护 。 程 序 员 
应 该 做 到 配置 所 有 的 安全 机 制 . 关 掉 所 有 不 使 用 的 服务 .设置 角色 权限 账号 、 使 用 日 志和 
警报 。 

(10) 缓冲 区 溢出 

用 户 使 用 缓冲 区 溢出 来 破坏 Web 应 用 程序 的 栈 , 通 过 发 送 特别 编写 的 代码 到 Web 程 
序 中 ,攻击 者 可 以 让 Web 应 用 程序 来 执行 任意 代码 。 


(11) SQL 注入 攻击 
在 程序 获取 数据 的 地 方 ,修改 变量 值 ,加 入 条 件 为 “ 真 ”或 “ 假 ”的 逻辑 语句 判断 变量 的 处 
理 是 否 执 行 了 语句 。 如 and '1'='1,'and '1' 一 '2,or 1 二 1/ * , 'or 1 二 1-- 等 。 


为 了 进行 更 深入 的 测试 ,需要 构造 新 的 字符 集 来 绕 过 过 滤 ,如 : 

QO 推测 数据 库 的 字符 集 ,构造 恶意 宽 字符 绕 过 转 义 。 

@ 推测 过 滤 仅 仅 针对 $_GET[] 和 $_POST[] 方 法 ,构造 特殊 Cookie 信息 的 数据 包 发 
送 到 服务 器 ,查看 返回 信息 。 

@ 不 使 用 被 过 滤 的 数据 ,使 用 其 他 编码 或 者 字符 绕 过 。 

(12) 跨 站 点 脚本 攻击 

在 程序 获取 数据 的 地 方 ,测试 者 输入 一 些 恶 意 代码 ,如 : 
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@ HTML 标签 : <… 二 …</*… 二 ; 
@ 转 义 字符 : &(&) ,一 (<),>(>)，( 空 格 ) ; 
@ 脚本 语言 : 二 script. language 一 "javascript' 二 alert('test') /script> ; 
@ 特殊 字符 :“ ”二 二 /; 
@ 超过 输入 的 最 大 长 度 等 。 


2. 系统 服务 器 安全 检查 点 


(1) 检查 关闭 不 必要 的 服务 

(2) 是 否 建立 安全 账号 策略 和 安全 日 志 ; 

(3) 是 否 已 设置 安全 的 IIS, 删 除 不 必要 的 IIS 组 件 和 进行 IIS 安全 配置 ; 
(4) Web 站 点 目录 的 访问 权限 是 否 过 大 ; 

(5) 服务 器 系统 补丁 是 否 打 上 ,是 否 存 在 系统 漏洞 ; 

(6) 扫描 检测 木马 。 


3. 数据 库 安全 检查 点 


(1) 系统 数据 是 否 机 密 

@ 尽量 不 要 使 用 Sa 账户 ,密码 够 复杂 。 

@ 严格 控制 数据 库 用 户 的 权限 ,不 要 轻易 给 用 户 直接 的 查询 、 更 改 、 插 入 、 删 除权 限 ,可 
以 只 给 用 户 访 问 视图 和 执行 存储 过 程 的 权限 。 

@ 数据 库 的 账号 ,密码 (还 有 端口 号 ) 是 不 是 直接 写 在 配置 文件 里 而 没有 进行 加 密 。 

(2) 系统 数据 的 完整 性 

(3) 系统 数据 的 可 管理 性 

(4) 系统 数据 的 独立 性 

(5) 系统 数据 可 备份 和 恢复 能 力 ( 数 据 备份 是 否 完整 .可否 恢复 ,恢复 是 否 可 以 完整 ) 

QO@ 服务 器 突然 断 电 , 这 可 能 导致 配置 文件 的 错误 ,导致 无 法 访问 或 者 数据 的 丢失 ; 

@ 重 做 日 志 发 生 损坏 ,这 可 能 导致 数据 库 管理 员 无 法 把 数据 恢复 到 故障 发 生 时 的 点 ; 

@ 硬盘 发 生 故 障 而 导致 数据 丢失 ,这 主要 是 要 测试 各 份 文件 异地 存放 的 有 效 性 ; 

@ 数据 批量 更 新 的 错误 处 理 ,这 主要 是 数据 库 备 份 测试 数据 库 管 理 员 在 进行 批量 更 新 
之 前 是 否 有 先 对 数据 库 进行 备份 的 习惯 等 。 


6.4 Web 安全 测试 工具 


常用 的 安全 测试 工具 有 HP 公司 的 WebInspect, IBM 公司 的 Rational AppScan， 
Google 公司 的 Skipfish,Acunetix 公司 的 Acunetix Web Vunlnerability Scanner 等 。 还 有 
一 些 免费 或 开源 的 安全 测试 工具 , 如 WebScarab、Websecurify、Firebug、Netsparker、 
Wapiti 等 。 


1. Weblnspect 


HP Weblnspect 是 建立 在 Web 2. 0 技术 基础 上 ,可 以 对 Web 应 用 程序 进行 网 络 应 用 
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安全 测试 和 评估 。Weblnspect 提供 了 快速 扫描 功能 ,并 能 进行 广泛 的 安全 评估 ,并 给 出 准 
确 的 Web 应 用 程序 安全 扫描 结果 。 它 可 以 识别 很 多 传统 扫描 程序 检测 不 到 的 安全 漏洞 。 
利用 创新 的 评估 技术 ,例如 同步 扫描 和 审核 (Simultaneous Crawl and Audit, SCA) 及 并 发 
应 用 程序 扫描 ,可 以 快速 而 准确 地 自动 执行 Web 应 用 程序 安全 测试 和 Web 服务 安全 测试 。 

Weblnspect 的 主要 功能 包括 : 

(1) 利用 创新 的 评估 技术 检查 Web 服务 及 Web 应 用 程序 的 安全 ; 

(2) 自动 执行 Web 应 用 程序 安全 测试 和 评估 ; 

(3) 在 整个 生命 周期 中 执行 应 用 程序 安全 测试 和 协作 ; 

(4) 通过 最 先进 的 用 户 界面 轻松 运行 交互 式 扫描 ; 

(5) 利用 高 级 工具 (HP Security Toolkit) 执 行 渗 透 测试 。 

网 站 地 址 : http://www8. hp. com/cn/zh/software-solutions/enterprise-software- 


products-a-z. html?view= list 
2. AppScan 


Rational AppScan 是 IBM 公司 出 的 一 款 Web 应 用 安全 测试 工具 ,是 对 Web 应 用 和 
Web Services 进行 自动 化 安全 扫描 的 黑 盒 工具 。 它 不 但 可 以 简化 企业 发 现 和 修复 Web 应 
用 安全 隐患 的 过 程 ,还 可 以 根据 发 现 的 安全 隐患 ,提出 针对 性 的 修复 建议 ,并 能 形成 多 种 符 
合法 规 ,行业 标准 的 报告 ,方便 相关 人 员 全 面 了 解 企业 应 用 的 安全 状况 。 

Rational AppScan 采用 黑 盒 测试 的 方式 ,可 以 扫描 常见 的 Web 应 用 安全 漏洞 ,如 SQL 
注入 、 跨 站 点 脚本 攻击 、 缓 冲 区 溢出 等 安全 漏洞 的 扫描 。Rational AppScan 还 提供 了 灵活 报 
表 功 能 。 在 扫描 结果 中 ,不 仅 能 够 看 到 扫描 的 漏洞 ,还 提供 了 详尽 的 漏洞 原理 ,修改 建议 、 手 
动 验 证 等 功能 。AppScan 支持 对 扫描 结果 进行 统计 分 析 , 支 持 对 规范 法 规 遵循 的 分 析 , 并 
提供 Delta AppScan 帮助 建立 企业 级 的 测试 策略 库 比较 报告 ,以 比较 两 次 检测 的 结果 ,从 而 
作为 质量 检验 的 基础 数据 。 

网 站 地 址 : http://www. ibm. com/ developerworks/cn/downloads/r/appscan/learn. html 


3. Acunetix Web Vulnerability Scanner 


Acunetix Web Vulnerability Scanner 是 一 个 网 站 及 服务 器 漏洞 扫描 软件 , 它 包 含 收 费 
和 免费 两 种 版 本 。Acunetix Web Vulnerability Scanner 的 功能 包括 : 

(1) 自动 的 客户 端 脚本 分 析 器 ,允许 对 Ajax 和 Web 2. 0 应 用 程序 进行 安全 性 测试 。 

(2) 先进 且 深 入 的 SQL 注入 和 器 站 脚本 测试 。 

(3) 高 级 渗透 测试 工具 ,例如 HTTP Editor 和 HTTP Fuzzer。 

(4) 可 视 化 宏 记录 器 ,可 帮助 用 户 轻 松 测试 Web 表格 和 受 密码 保护 的 区 域 。 

(5) 支持 含有 CAPTHCA 的 页 面 ,单个 开始 指令 和 Two Factor( 双 因素 ) 验 证 机 制 。 

(6) 丰富 的 报告 功能 ,包括 VISA PCI 依从 性 报告 。 

(7) 高 速 的 多 线程 扫描 器 轻松 检索 成 千 上 万 个 页 面 

(8) 智能 爬行 程序 检测 Web 服务 器 类 型 和 应 用 程序 语言 

(9) Acunetix 检索 并 分 析 网 站 ,包括 flash 内 容 . SOAP 和 Ajax。 
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(10) 端口 扫描 Web 服务 器 并 对 在 服务 器 上 运行 的 网 络 服务 执行 安全 检查 。 
网 站 地 址 : http://www. acunetix. com/ 


4. Nikto 


Nikto 是 一 款 开源 的 (GPL) Web 服务 器 扫描 器 。 它 可 以 对 Web 服务 器 进行 全 面 的 多 
种 扫描 ,包含 超过 3300 种 有 潜在 危险 的 文件 CGIs, 超 过 625 种 服务 器 版 本 ,以 及 超过 230 
种 特定 服务 器 问题 。 

网 站 地 址 : http://www. cirt. net/nikto2 


5. WebScarab 


WebScarab 是 由 开放 式 Web 应 用 安全 项 目 (OWASP) 组 开发 的 ,用 于 测试 Web 应 用 安 
全 的 工具 。 

WebScarab 利用 代理 机 制 ,可 以 截获 Web 浏览 器 的 通信 过 程 ,获得 客户 端 提交 至 服务 
器 的 所 有 HTTP 请 求 消 息 ,还 原 HTTP 请 求 消息 (分 析 HTTP 请 求 信 息 ), 并 以 图 形 化 界 
面 显示 其 内 容 , 并 支持 对 HTTP 请 求 信息 进行 编辑 修改 。 

网 站 地 址 : https://www. owasp. org/index. php/Category:OWASP_WebScarab_Project 


6. Websecurify 


Websecurify 是 一 款 开 源 的 跨 平 台 网 站 安全 检查 工具 ,能 够 精确 地 检测 Web 应 用 程序 
安全 问题 。 

WebSecurify 可 以 用 来 查找 Web 应 用 中 存在 的 漏洞 ,如 SQL 注入 .本 地 和 远程 文件 包 
含 . 跨 站 脚本 攻击 . 跨 站 请 求 伪造 、 信 息 泄 露 .会 话 安全 等 。 

网 站 地 址 : http://www. websecurify. com 


7. Wapiti 


Wapiti 是 一 个 开源 的 安全 测试 工具 ,可 用 于 Web 应 用 程序 漏洞 扫描 和 安全 检测 。 
Wapiti 是 用 Python 编写 的 脚本 , 它 需 要 Python 的 支持 。Wapiti 采用 黑 盒 方式 执行 扫描 ， 
而 不 需要 扫描 Web 应 用 程序 的 源 代码 。Wapiti 通过 扫描 网 页 的 脚本 和 表单 ,查找 可 以 注入 
数据 的 地 方 。Wapiti 能 检测 以 下 漏洞 : 文件 处 理 错误 ,数据 库 注入 (包括 PHP/JSP/ASP SQL 
注入 和 XPath 注入 ), 跨 站 脚本 注入 (XSS 注入 ),LDAP 注入 ,命令 执行 检测 (如 eval()、 
system() .passtru() 等 ) ,CRLF 注入 等 。 

Wapiti 被 称 为 轻 量 级 安全 测试 工具 ,因为 它 的 安全 检测 过 程 不 需要 依赖 漏洞 数据 库 ， 
因此 执行 的 速度 会 更 快 些 。 

网 站 地 址 : http://sourceforge. net/projects/wapiti 


8. Firebug 


Firebug 是 浏览 器 Mozilla Firefox 下 的 一 款 插 件 , 它 集 HTML 查看 和 编辑 JavaScript 
控制 台 、 网 络 状况 监视 器 于 一 体 ,是 开发 JavaScript、CSS、HTML 和 Ajax 的 得 力 助手 。 
Firebug 如 同一 把 精巧 的 瑞士 军刀 ,从 各 个 不 同 的 角度 剖析 Web 页 面 内 部 的 细节 层面 ,给 


第 6 章 Web 安全 性 测试 


Web 开发 者 带 来 很 大 的 便利 。Firebug 也 是 一 个 除 错 工具 ,用 户 可 以 利用 它 除 错 、 编 辑 , 甚 
至 删改 任何 网 站 的 CSS HTML .DOM 以 及 JavaScript 代码 。 


6.5 安全 测试 案例 


下 面 的 缺陷 是 从 言 车 金 叶 软 件 研究 中 心 2013 年 和 2014 年 全 国 大 学 生 寻 找 产品 缺陷 
(Find Bug) 技 能 大 赛 的 稿件 中 精心 选取 的 。 


6.5.1 XSS 攻击 


缺陷 标题 : 城市 空间 网 站 上 传 户外 轨迹 时 “话题 回复 ” 域 存在 XSS 攻击 风险 。 
测试 平台 与 浏览 器 : Windows XP 十 IE 9。 

测试 步骤 : 

(1) 打开 城市 空间 网 页 http://www. oricity. com/; 

(2) 登录 , 单 击 【 最 近 话 题 ] 中 的 任 一 话题 ; 

(3) 在 【话题 回复 3 输入 框 输入 脚本 二 script>alert(123) 一 /script 二 ,如 图 6-11 所 示 ; 


个 人 -| @ http:// ww.oricity.com/fl/fw.php?eventid=936547818ihostld @ P - Sox 


站 
| 


[lanfox] 的 城市 空间 | 户外 轨迹 | 活动 ~ 


当前 话题 : 准备 一 哈 ， 本 周末 再 打 场 比赛 


script>alert (123) </script)| 


第 26 楼 手 朝 于 2013-07-07 14:33:40 跟 帖 说 - 


1 
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(4) 单 击 【提交 话题 回复 按钮 。 
期 望 结果 : 提示 用 户 输入 错误 .不 响应 该 脚本 。 
实际 结果 : 浏览 器 响应 该 脚本 ,弹出 对 话 框 信息 “123”, 如 图 6-12 所 示 。 


6.5.2 钓鱼 风险 
缺陷 标题 : worksnap 主页 的 “话题 回复 ”存在 通过 框架 钓鱼 的 风险 。 
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[lanfox] 的 城市 空间 “ 


-一 一 TIE 


图 6-12 弹出 “123? 对 话 框 
测试 平台 与 浏览 器 : Windows XP 十 Firefox 24. 0 或 Chrome 32.0。 
测试 步骤: 
(1) 打开 城市 空间 主页 http://www. oricity. com; 
(2) 登录 , 单 击 【 户 外 轨迹 】, 单 击 [ 上 传 轨迹 ] 按 钮 ; 
(3) 在 【轨迹 名 称 ] 中 输入 二 iframe src 二 http://demo. testfire. net ,其 他 正常 输入 ; 
(4) 单 击 [ 上 传 轨迹 按钮 , 单 击 返回 ,观察 页 面 元 素 。 
期 望 结果 : 不 存在 通过 框架 钓鱼 的 风险 。 
实际 结果 : 存在 通过 框架 钓鱼 的 风险 ,覆盖 了 其 他 上 传 轨迹 ,并 且 主 页 显示 错乱 ,如 
图 6-13 和 图 6-14 所 示 。 


[ee x |) 
MN 


[lanfox] 的 城市 空间 | 请 拟订 


当前 话题 : 准备 一 喻 ， 本 周末 再 打 场 比赛 


《iframe src=http://deno. testfire. net)| 


图 6-13 输入 攻击 脚本 
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6-14 出 现 钓 鱼 风险 


6.5.3 SOL 注入 攻击 


缺陷 标题 : 国外 网 站 AltoroMutual 的 登录 页 面 存在 SQL 注入 的 风险 。 
测试 平台 与 浏览 器 : Windows 7 十 IE 8 或 Chrome。 

测试 步骤: 

(1) 打开 网 站 http://demo. testfire. net; 

(2) 单 击 Sign In; 

(3) 在 Username 域内 输入 'or 'a' 一 'a'--, 如 图 6-15 所 示 ; 


6-15 输入 SQL 注入 脚本 
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< 


(4) 密码 任意 ; 

(5) 以 管理 员 身 份 成 功 登 录 。 

期 望 结果 : 提示 账号 或 密码 不 正确 或 不 存在 。 

实际 结果 : 能 够 成 功 并 以 管理 员 身 份 登录 ,如 图 6-16 所 示 。 


逢 Ahom ws internet Explorer 
一 aa 
2 


[ evaevoncievevbmwmsvw ||x)| 


图 6-16 成 功 并 以 管理 员 身份 登录 


缺陷 标题 : 城市 空间 话题 中 存在 SQL 注入 风险 。 
测试 平台 与 浏览 器 : Windows XP 十 Chrome/IE。 

测试 步骤 : 

(1) 打开 城市 空间 官网 http://www. oricity. com; 

(2) 打开 任 一 话题 ; 

(3) 修改 URL ,在 eventId 后 面 添加 一 个 分 号 *; ”, 单 击 【 转 到 3 按钮 。 
期 望 结果 : 提示 URL 错误 。 

实际 结果 : 直接 显示 SQL 错误 ,如 图 6-17 所 示 。 


|| Query Error: select * from oc_reply where replytype='3' and eventid=72164134; and 
replycount=1 


The URL Is: 
http://www.oricity.com/fi/fw.php?eventId=72164134;&hostId=3 


MySQL Server Error: 
You have an error in your SQL syntax; check the manual that corresponds to your 
MySQL server version for the right syntax to use near 'and replycount=1' at line 1 ( 


6-17 SQL 错误 
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6.5.4 目录 泄露 


缺陷 标题 : 城市 空间 网 站 存在 暴露 站 点 目录 的 文件 。 
测试 平台 与 浏览 器 : Windows XP 十 Chrome 或 IE。 
测试 步骤: 

(1) 打开 城市 空间 网 页 http://www. oricity. com/; 
(2) 在 原 URL 后 面 添加 /robots. txt, 并 回 车 。 
期 望 结果 : 不 存在 该 文件 。 

实际 结果 : 存在 该 文件 ,并 能 打开 ,如 图 6-18 所 示 。 


由 个 -| 加 http//www.oricty.com/robots.bet 


# robots. txt for PHPWIND BOARD 
# Version 4.x 


: /template/ 


图 6-18 站 点 结构 暴露 


6.5.5 上 传 图 片 未 限制 


缺陷 标题 : 城市 空间 中 图 片上 传 可 上 传 超过 限制 大 小 的 图 片 。 
测试 平台 与 浏览 器 : Windows XP 十 Chrome 或 IE。 

测试 步骤 : 

(1) 打开 城市 空间 网 页 http://www. oricity. com; 

(2) 登录 , 单 击 【XX 的 城市 空间 】. 在 【我 的 相册 3 目录 下 单 击 【 图 片上 传 ] 按 钮 ; 
(3) 选择 图 片 大 小 超过 200KB 的 图 片 ,填写 其 他 内 容 , 然 后 单 击 【[ 上 传 图 片 按 钮 。 
期 望 结果 : 上 传 失 败 ,并 给 出 相应 的 提示 。 

实际 结果 : 成 功 上 传 , 并 显示 和 打开 图 片 ,如 图 6-19 所 示 。 


6.5.6 网 站 配置 信息 泄露 


缺陷 标题 : 城市 空间 网 站 存在 泄露 PHP 信息 和 网 站 配置 信息 的 页 面 。 
测试 平台 与 浏览 器 : Windows XP 十 Chrome 或 IE。 
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Om | ep Do-acxBo ee | 


|@ Bi- 上 舍 加 上 xm 


上 车 图 片 ( 意 的 图 片 空间 50 Wi， 现 已 用 0 M) 
上 传 图 片 (gifjpg jpeg png bmp 格 式 ) 


(请 机 定 轴 入 有 戏 的 匀 按 ) 入 4 出 撤 ) 
2014-11-23 
其 WR 画 


2014-11-23 


图 6-19 上 传 图 片 未 限制 大 小 


测试 步骤: 

(1) 打开 城市 空间 网 站 http://www. oricity. com; 

(2) 修改 URL 栏 , 在 原 网 页 后 面 添 加 */phpinfo. php”, 并 回 车 。 
期 望 结 果 : 页 面 提示 找 不 到 该 网 页 。 

实际 结果 : 页 面 可 访问 ,能 进入 php 信息 页 面 ,如 图 6-20 所 示 。 


[MA -8 res woriciy com/pheinfo ph @ 2 9 ox | 
so 1 


6-20 ”网 站 配置 信息 泄露 


6.5.7 存在 测试 页 面 


缺陷 标题 : 城市 空间 的 活动 页 面 中 有 测试 页 面 。 
测试 平台 与 浏览 器 : Windows XP 十 Chrome。 
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测试 步骤 : 

(1) 打开 城市 空间 网 站 http://www. oricity. com; 

(2) 单 击 任 一 活动 ; 

(3) 修改 URL 为 http://www. oricity. com/event/test. php, 并 回 车 。 
期 望 结果 : 不 存在 测试 页 面 。 

实际 结果 : 存在 测试 页 面 ,并 能 访问 ,如 图 6-21 所 示 。 


< 加 个 人 » | HOB/ OD 2-acx vo 


325 ; 


图 6-21 网 站 存在 测试 页 面 


6.6 本 章 小 结 


对 于 Web 系统 而 言 , 安 全 性 是 至 关 重 要 的 。Web 安全 是 一 个 系统 问题 ,包括 Web 服务 
器 安全 .Web 应 用 服务 器 安全 .Web 应 用 程序 安全 、 数 据 传输 安全 和 客户 接收 端的 安全 。 
Web 常见 攻击 有 跨 站 点 脚本 攻击 ,SQL 注入 攻击 、 跨 站 请 求 伪 造 、 拒 绝 服务 攻击 、Cookie 欺 
骗 .缓冲 区 溢出 .XML 注入 ,文件 上 传 下 载 漏洞 等 。 进 行 Web 安全 测试 时 可 以 通过 功能 验 
证 ,漏洞 扫描 、 模 拟 式 攻 击 、 侦 听 技 术 等 方式 进行 。 


Web 兼 容 性 测试 | 


随 着 软件 技术 的 发 展 ,操作 系统 和 浏览 器 越 来 越 多 样 化 ,为 保证 Web 应 用 在 各 种 不 同 
的 浏览 器 及 用 户 端 配置 下 都 能 够 正常 运行 ,需要 进行 兼容 性 测试 。Web 兼容 人 性 测试 主要 是 
针对 不 同 的 操作 系统 平台 、 浏 览 器 、 分 辩 率 、 网 络 连接 和 打印 机 等 进行 的 测试 ,并 尝试 各 种 设 
置 的 组 合 情 况 。 


€.1 兼容 性 测试 


兼容 性 测试 是 验证 待 测试 项 目 在 不 同 的 硬件 平台 上 、\ 不 同 的 操作 系统 平台 上 ,不同 的 应 
用 软件 之 间 ,不同 的 网 络 连 接 等 情况 下 能 否 正常 运行 。 其 目的 是 保证 应 用 程序 可 以 在 用 户 
使 用 的 机 器 上 运行 。 兼 容 性 测试 无 法 做 到 完全 的 质量 保证 ,但 对 于 一 个 项 目 来 讲 ,兼容 性 测 
试 是 必 不 可 少 的 一 个 步骤 。 

进行 兼容 性 测试 时 ,需要 验证 下 列 情况 。 

(1) 待 测试 项 目 在 不 同 的 操作 系统 平台 上 正常 运行 ,包括 待 测试 项 目 能 在 同一 操作 系 
统 平台 的 不 同 版 本 上 正常 运行 ; 

(2) 待 测试 项 目 能 与 相关 的 其 他 软件 或 系统 和 平 共处 , 互 不 影响 ; 

(3) 待 测试 项 目 能 在 指定 的 硬件 环境 中 正常 运行 ; 

(4) 待 测试 项 目 能 在 不 同 的 网 络 环境 中 正常 运行 。 

兼容 性 测试 工作 量 庞大 ,需要 精心 设计 实现 ,并 根据 具体 情况 进行 取舍 ,保留 至 专项 兼 
容 性 测试 时 实施 。 


和 .2 操作 系统 兼容 性 测试 


7.2.1 常用 的 操作 系统 


常见 的 操作 系统 有 Windows,UNIX.Linux,Android 等 。 目 前 最 常用 的 是 Windows 操 
作 系 统 , Windows 操作 系统 包括 Windows 8, Windows 7, Windows XP, Windows 2003， 
Windows Vista, Windows 2000/NT,Windows 9x 等 。 

根据 CNZZ 数据 中 心 对 中 国 网 民 的 操作 系统 使 用 情况 的 分 析 ,2013 年 12 月 中 国 网 民 
使 用 操作 系统 的 分 布 情况 如 图 7-1 和 图 7-2 所 示 ( 来 自 http://data. cnzz. com/ 中 国 互联 网 
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中 国 网 民 的 操作 系统 使 用 情况 分 析 报 告 
2013.12.01-2013.12.31 ”选择 时 间 |2013 年 12 月 二 
Windows XP 
Windows 了 
安 卓 
苹果 I0S 
Windows 8 疙 
Windows Vistal 
Windows 2003 
苹果 电脑 上 
Yinios 81 WWW.cNzz.comh 
Windows 其 他 
Linux 
典 入 式 手持 终端 系统 
Windows 2000 
Windows 98 
0% 14% 28% 42% 56% 0: 
7-1 中 国 网 民 操 作 系统 使 用 情况 分 析 报 告 
换 作 系统 类 型 2013 年 12 月 使 用 率 2013 年 12 月 占有 率 
国 Windors 91.2% 87. 99% 
。 Windows XP B1.04% 57.77% 
。 Windons 7 27.22% 27.10% 
» Windons 8 1.65% 1.92% 
。 Windows Vista 0.47% 0.45% 
。 Windows 2003 0.42% 0.28% 
» Windows 8.1 0.24% 0.22% 
， Windows 其 他 0.14% D0,21% 
。 Windows 2000 0.02% 0.04% 
园 安 卓 6.24% 10. 90% 
目 苹果 IT0s 2.11% 0.TTY% 
目 苹果 电脑 0.34% 0.18% 
国 Linax 0.09% 0.13% 
加 嵌入 式 手持 终端 系统 0.03% 0.03% 


7-2 中国 网 民 操作 系统 使 用 率 


分 析 报 告 ) 。 


据 以 上 数据 统计 ,用 户 常用 的 操作 系统 前 两 位 分 别 是 Windows XP、Windows 7。 


1. Windows 


Windows 是 微软 公司 制作 和 研发 的 一 套 桌 面 操作 系统 。 随 着 计算 机 硬件 和 软件 的 不 
断 升 级 ,微软 的 Windows 也 在 不 断 升 级 ,从 架构 的 16 位 、32 位 再 到 64 位 ,系统 版 本 从 最 初 
的 Windows 1. 0 到 大 家 熟知 的 Windows 95、Windows 98、Windows 2000、Windows XP、 
Windows Vista、Windows 7、Windows 8,Windows 8. 1 和 Server 服务 器 企业 级 操作 系统 ， 
不 断 持续 更 新 ,微软 一 直 致 力 于 Windows 操作 系统 的 开发 和 完善 。 

随 着 微软 对 Windows 平台 的 不 断 升 级 ,对 于 上 一 代 操 作 系统 ,除非 有 特殊 需求 ,一 般 都 
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不 再 做 出 支持 的 承诺 。 
2. Linux 


Linux 作为 自由 软件 ,其 核心 版 本 是 唯一 的 ,而 发 行 版 本 则 不 受 限制 ,发 行 版 本 之 间 存 
在 着 较 大 的 差异 。 因 此 被 测 软件 不 能 简单 地 说 是 支持 Linux, 测 试 也 不 能 只 在 RedHat 最 
新 发 行 版 上 进行 ,需要 对 发 行商 ,多 版 本 进行 测试 ,用 户 文档 中 的 内 容 应 明确 至 发 行商 和 版 
本 号 。 


3. Android( 安 卓 ) 


Android 是 一 种 基于 Linux 的 自由 及 开放 源 代码 的 操作 系统 ,主要 使 用 于 移动 设备 ,如 
智能 手机 和 平板 电脑 ,现在 已 经 扩展 到 电视 、 数 码 相 机 、 游 戏 机 等 设备 上 。Android 由 
Google 公司 和 开放 手机 联盟 领导 及 开发 。 


4. Mac OS X( 苹 果 ) 


Mac OS X 是 全 球 领 先 的 操作 系统 ,基于 UNIX, 设 计 简单 直观 ,安全 易 用 。Mac OS X 
以 稳定 可 靠 著 称 ,但 系统 不 兼容 任何 非 Mac 软件 ,因此 在 开发 Snow Leopard 的 过 程 中 ， 
Apple 工程 师 们 只 能 开发 Mac 系列 软件 。 


7.2.2 ”Web 操作 系统 兼容 性 测试 


进行 操作 系统 兼容 性 测试 的 主要 目的 就 是 保证 待 测试 项 目 在 该 操作 系统 平台 下 能 正常 
和 运行。 用户 使 用 操作 系统 的 类 型 ,直接 决定 了 操作 系统 平台 兼容 性 测试 的 操作 系统 平台 
数量 。 

对 于 一 些 特殊 项 目 ( 例 如 定制 项 目 ), 可 以 指定 某 些 类 型 的 操作 系统 版 本 ,这 些 应 该 在 需 
求 规格 说 明 书 中 指明 ,针对 指明 的 操作 系统 版 本 必须 进行 兼容 性 测试 。 

对 于 大 部 分 的 项 目 ,一 般 不 指定 操作 系统 的 版 本 ,对 于 这 样 的 项 目 ,应 当 针 对 当前 的 主 
流 操作 系统 版 本 进行 兼容 性 测试 ,在 确保 主流 操作 系统 版 本 兼容 性 测试 的 前 提 下 ,再 对 非 主 
流 操作 系统 版 本 进行 测试 ,尽量 保证 项 目的 操作 系统 版 本 的 兼容 性 测试 的 完整 性 。 

在 Web 应 用 中 ,进行 操作 系统 兼容 性 测试 时 ,一 般 和 浏览 器 结合 起 来 进行 测试 。 


€.3 浏览 器 兼容 性 测试 


浏览 器 是 Web 系统 中 的 一 个 非常 重要 的 组 成 部 分 , 它 关 系 到 软件 产品 最 终 的 展现 形 
式 , 直 接 与 用 户 打交道 。 同 一 个 Web 页 面 在 不 同 的 浏览 器 上 可 能 有 不 同 的 效果 ,而 用 户 也 
有 各 不 相同 的 使 用 浏览 器 的 习惯 ,有 使 用 主流 浏览 器 的 .也 有 使 用 非 主流 的 。 为 了 保证 软件 
产品 能 够 面向 大 多 数 的 用 户 ,浏览 器 的 兼容 性 测试 在 Web 测试 中 占据 了 十 分 重要 的 地 位 。 
7.3.1 常见 浏览 器 


浏览 器 是 Web 客户 端的 核心 构件 ,来 自 不 同 厂 商 的 浏览 器 对 Java、 JavaScript、 
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ActiveX plug-ins 或 不 同 的 HTML 规格 有 不 同 的 支持 。 例 如 , ActiveX 是 Microsoft 的 产 
品 ,是 为 Internet Explorer 而 设计 的 ,JavaScript 是 Netscape 的 产品 ,Java 是 Sun 的 产品 等 。 
另外 ,框架 和 层次 结构 风格 在 不 同 的 浏览 器 中 也 有 不 同 的 显示 ,甚至 根本 不 显示 。 不 同 
的 浏览 器 对 安全 性 和 Java 的 设置 也 不 一 样 。 因 此 在 Web 测试 中 ,必须 进行 浏览 器 兼容 性 
测试 。 

根据 CNZZ 数据 中 心 对 国内 主流 浏览 器 的 统计 分 析 ,2014 年 1 月 中 国 网 民 浏 览 器 使 用 
分 布 情况 如 图 7-3 所 示 ( 来 自 http://data. cnzz. com/ 中 国 互联 网 分 析 报 告 )。 


桌面 浏览 器 类 型 14-01-20 使 用 率 


Internet Explorer 
奇 虎 360 旗 下 浏览 器 
Safari 
搜狗 高 速 浏览 器 
Chrome 


43.67% 
26.49% 
6.47% 
5.63% 
5.36% 
3.98% 
2.03% 
1.73% 
1.30% 
1.24% 
1.00% 
0.62% 
0.24% 
0.17% 
0.06% 


bese@eagoepecega 


图 7-3 桌面 浏览 器 使 用 统计 


据 以 上 数据 分 析 ,2014 年 1 月 ,中 国 网 民 统 计 使 用 率 份额 比较 高 的 浏览 器 依次 为 : 
第 1 位 :IE 浏览 器 (Internet Explorer); 
第 2 位 : 奇 虎 360 浏览 器 ; 

第 3 位 : 苹果 浏览 器 (Safari); 

第 4 位 : 搜狗 高 速 浏览 器 ; 

第 5 位 : 谷歌 浏览 器 (Chrome); 

第 6 位 : 腾讯 旗下 浏览 器 ; 

第 7 位: 傲游 浏览 器 ; 

第 8 位: 2345 浏览 器 ; 

第 9 位 : UC 浏览 器 ; 

第 10 位: 猎豹 浏览 器 ; 

第 11 位 : 火狐 浏览 器 (Firefox) 。 


7.3.2 浏览 器 分 类 
随 着 IT 技术 的 发 展 ,浏览 器 的 种 类 越 来 越 多 。 对 于 各 种 各 样 的 浏览 器 ,我 们 可 以 根据 
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它们 的 内 核 进行 划分 。 所 谓 浏览 器 内 核 ,其 实 就 是 泻 染 引 擎 。 虽 然 每 家 浏览 器 厂商 生产 的 
浏览 器 功能 都 大 同 小 异 ,都 可 以 浏览 网 页 ,但 是 处 理 速度 不 一 样 ,并 且 对 标准 的 支持 也 不 尽 
相同 ,其 根本 原因 就 是 因为 泻 染 引擎 技术 的 不 同 。 泻 染 引擎 决定 了 浏览 器 如 何 显示 网 页 的 
内 容 以 及 页 面 的 格式 信息 。 不 同 浏览 器 内 核对 网 页 编写 语法 的 解释 也 有 不 同 , 因 此 同一 网 
页 在 不 同 内核 的 浏览 器 里 的 泻 染 (显示 ) 效 果 也 可 能 不 同 , 这 也 是 网 页 编写 者 需要 在 不 同 内 
核 的 浏览 器 中 测试 网 页 显示 效果 的 原因 。 


1. Trident(CIE 内 核 ) 


Trident 内 核 程序 在 1997 年 的 IE 4 中 首次 被 采用 ,是 微软 在 Mosaic 代码 的 基础 之 上 
修改 而 来 的 ,并 沿用 到 目前 的 IE 11。 

Trident 实际 上 是 一 款 开放 的 内 核 ,兼容 性 强 。 目 前 它 是 互联 网 上 最 流行 的 ,用 户 数 最 
广 的 泻 染 引擎 ,但 是 这 几 年 IE 的 市 场 份额 正在 逐渐 被 Firefox 和 Chrome 所 等 食 。 

使 用 Trident 内 核 的 浏览 器 有 EE.360 安全 浏览 器 ,傲游 .世界 之 窗 腾讯 TT、NetScape 等 。 


2. Gecko(Firefox 内 核 ) 


Gecko 的 特点 是 代码 完全 公开 ,其 可 开发 程度 很 高 ,全 世界 的 程序 员 都 可 以 为 其 编写 代 
码 ,增加 功能 。 因 为 这 是 个 开源 内 核 , 因 此 受到 许多 人 的 青睐 ,Gecko 内 核 的 浏览 器 也 很 多 ， 
这 也 是 Gecko 内 核 虽 然 年 轻 但 市 场 占 有 率 能 够 迅速 提高 的 重要 原因 。 

Gecko 是 一 个 跨 平 台 内 核 , 可 以 在 Windows、BSD、Linux 和 Mac OS X 等 操作 系统 中 使 
用 。Gecko 是 开放 源 代码 、 以 C++ 编 写 的 泻 染 引擎 。 它 是 最 流行 的 排版 引擎 之 一 ,其 流行 程 
度 仅 次 于 Trident。 

使 用 Gecko 内 核 的 典型 代表 有 Firefox( 火 狐 )、Mozilla、 网 景 (6 一 9) .Minimo 等 。 


3. Webkit(Safari 内 核 ) 


Webkit 是 侠 果 公司 自己 的 内 核 ,也 是 苹果 的 Safari 浏览 器 使 用 的 内 核 。Webkit 引擎 
包含 WebCore 排版 引擎 及 JavaScript Core 解析 引擎 , 均 是 从 KDE 的 KHTML 及 KJS 引 
擎 衍生 而 来 的 。 它 们 都 是 自由 软件 .在 GPL 条 约 下 授权 ,同时 支持 BSD 系统 的 开发 。 所 以 
Webkit 也 是 自由 软件 ,同时 开放 源 代 码 。 在 安全 方面 不 受 IE、Firefox 的 制约 ,所 以 Safari 
浏览 器 在 国内 还 是 很 安全 的 。 

使 用 Webkit 内 核 的 典型 代表 有 Safari、Google Chrome、360 极速 浏览 器 .搜狗 浏览 
器 等 。 

WebKit 内 核 在 手机 上 的 应 用 也 十 分 广泛 ,例如 Google 的 手机 Gphone、Apple 的 
iPhone，Nokia's Series 60 browser 等 所 使 用 的 Browser 内 核 引擎 ,都 是 基于 WebKit 的 。 


4. Blink(Google 的 未 来 内 核 ) 


2013 年 4 月 3 日 ,谷歌 在 Chromium Blog 上 发 表 博 客 , 称 将 与 苹果 的 开源 浏览 器 核心 
Webkit 分 道 扬 镰 ,在 Chromium 项 目 中 自主 研发 Blink 这 染 引擎 ( 即 浏览 器 核心 ) ,将 其 内 
置 于 Chrome 浏览 器 之 中 。 
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7.3.3 浏览 器 兼容 性 测试 


市 面 上 浏览 器 的 种 类 繁多 ,如 果 每 一 种 都 需要 进行 测试 , 那 是 不 现实 的 。 对 于 一 些 特殊 
项 目 ( 例 如 定制 项 目 ) ,可 以 指定 某 一 类 型 的 浏览 器 (包括 版 本 ) ,并 在 需求 规格 说 明 书 中 指 
明 。 对 于 指明 的 浏览 器 必须 进行 兼容 性 测试 。 但 大 部 分 的 项 目 , 是 不 会 指定 浏览 器 的 ,针对 
这 样 的 项 目 , 必 须 针 对 当前 的 主流 浏览 器 进行 测试 ,在 确保 主流 浏览 器 的 兼容 性 测试 通过 的 
前 提 下 ,再 对 非 主流 浏览 器 进行 测试 ,尽量 保证 项 目的 浏览 器 的 兼容 性 测试 的 完整 性 。 

按照 浏览 器 内 核 划分 ,我 们 可 以 根据 需求 从 每 种 浏览 器 内 核 里 挑 出 一 到 两 个 最 典型 的 
浏览 器 进行 测试 。 测 试 浏览 器 兼容 性 的 有 效 方法 是 创建 一 个 兼容 性 矩阵 。 在 这 个 矩阵 中 ， 
测试 不 同 厂商 ,不 同 版 本 的 浏览 器 对 某 些 构件 和 设置 的 适应 性 。 进 行 兼容 性 测试 时 ,一 般 和 
操作 系统 结合 起 来 一 起 测试 ,如 表 7-1 所 示 。 

表 7-1 兼容 性 测试 表 


操作 系统 版 本 浏 览 器 

SS Home 家 庭 版 (32bit) IE6/7/8/9、Firefox、Chrome、360 安全 浏览 器 
Professional 专业 版 (32bit) IE6/7/8/9、Firefox、Chrome、360 安全 浏览 器 
Home Basic 初级 家 庭 版 (32bit) IE9/10/11、Firefox、Chrome、360 安全 浏览 器 

eh Home Basic 初级 家 庭 版 (64bit) IE9/10/11、Firefox、Chrome、360 安全 浏览 器 
Ultimate 旗舰 版 (32bit) IE9/10/11\Firefox、Chrome、360 安全 浏览 器 
Ultimate 旗舰 版 (64bit) IE9/10/11、Firefox、Chrome、360 安全 浏览 器 

Windows 8 Windows 8 标准 版 (64bit) JE10/11、Firefox Chrome 


测试 时 可 以 使 用 比较 法 ,同时 打开 两 个 或 多 个 浏览 器 ,访问 同一 页 面 ,检查 页 面 内 容 在 
不 同 的 浏览 器 中 显示 是 否 有 问题 。 

常见 的 浏览 器 兼容 性 问题 ,主要 表现 在 页 面 显 示 问 题 和 功能 问题 。 

(1) 页 面 显示 

页 面 显示 的 美观 性 是 Web 应 用 程序 中 的 重要 需求 ,不 同 浏览 器 上 呈现 给 用 户 的 同一 个 
Web 页 面 可 能 显示 的 不 一 样 。 这 些 差异 性 主要 表现 在 页 面 元 素 的 位 置 . 大 小 外观 上 。 常 
见 的 页 面 显示 的 问题 ,如 网 页 的 版 面 中 出 现 多 余 空白 、 表 格 显示 不 全 ,文字 和 输入 框 有 移 位 、 
网 页 的 字体 颜色 被 算 改 ,flash 广告 不 动 .按钮 排列 错位 、 网 页 的 文字 显示 不 完全 、 页 面 的 分 
割 线 由 虚线 变 实 线 滚动 文 字 的 区 域 超出 表格 规定 、 页 面 文字 由 居中 变 成 居 左 或 居 右 、 网 页 
的 图 片 大 小 发 生 异 常 、 网 页 文字 错位 .图片 不 显示 或 发 生 重叠 的 现象 .下 拉 框 显示 不 完全 、 字 
体 变 小 等 。 

(2) 功能 问题 

Web 软件 中 的 功能 性 问题 主要 是 不 同 浏览 器 对 脚本 的 执行 不 一 致 ,功能 性 问题 极 大 地 
限制 了 用 户 对 Web 界面 元 素 的 使 用 。 这 类 问题 通常 很 难 被 发 现 ,例如 某 个 按钮 可 能 显示 正 
确 但 实际 它 已 无 法 使 用 ,不 显示 网 页 动画 、 循 环 变化 的 图 片 不 显示 或 不 循环 显示 .导航 栏 显 
示 不 正常 .滚动 内 容 无 法 控制 页面 出 现 乱 码 、 原 本 滚动 的 文字 不 滚动 .原来 滚动 的 信息 不 显 
示 动画 消失 变 成 透明 不 显示 统计 数字 等 。 
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7.3.4 浏览 器 兼容 性 测试 工具 


1. SuperPreview 


SuperPreview 是 微软 发 布 的 网 页 开发 调试 工具 , 自 带 有 很 多 元 素 查 看 工具 ,如 箭头 、 移 
动 .辅助 线 、 对 比 等 。 在 SuperPreview 中 ,可 以 同时 浏览 网 页 在 各 个 版 本 的 IE 中 的 表现 ,对 
比 显示 效果 。 据 微软 介绍 ,SuperPreview 的 可 用 IE 版 本 视 系 统 已 安装 IE 浏览 器 的 版 本 而 
定 , 如 果 系 统 安装 了 IE 8,SuperPreview 浏览 器 测试 可 用 版 本 就 包括 IE8 IE7 和 IE6; 如 果 系 
统 安装 了 IE 7, 那 SuperPreview 只 包括 IE7 和 IE6; 如 果 系 统 安装 了 IE6 , 那 SuperPreview 只 能 
测试 IE 6。 

网 站 地 址 : http://www. microsoft. com/zh-cn/download/details. aspx?id 一 2020 


2. IETester 


IETester 可 以 测试 网 页 在 不 同 版 本 的 IE 下 的 显示 效果 和 兼容 性 ,并 且 完 全 免费 。 支 
持 IE5 IE6 IE7 IE8 IE9 IE10 的 这 染 , 并 且 完美 运行 在 Windows 7 上 。IETester 的 主 界面 
也 是 Office 2007 的 风格 ,在 使 用 上 就 像 一 个 支持 多 标签 浏览 ,并 且 带 有 调试 工具 的 浏览 器 。 
网 站 地 址 : http://www. ietester. cn/ 


3. BrowserShots 


BrowserShots 是 一 款 免费 的 跨 浏 览 器 测试 工具 ,捕捉 网 站 在 不 同 浏览 器 中 的 截图 。 这 
是 最 有 名 ,也 是 最 古老 的 浏览 器 兼容 性 测试 工具 。 测 试 时 ,直接 在 BrowserShots 网 站 中 输 
入 待 测试 的 网 站 的 URL 地 址 , 即 可 进行 测试 。 

网 站 地 址 : http://browsershots. org/ 


0.4 分 辩 率 兼容 性 测试 


分 辨 率 的 测试 是 为 了 页 面 版 式 在 不 同 的 分 辩 率 模式 下 能 正常 显示 ,字体 符合 要 求 而 进 
行 的 测试 。 

在 Windows XP 操作 系统 中 ,分 辩 率 的 设置 步骤 如 下 。 

(1) 在 桌面 上 右 击 ,在 弹出 的 菜单 中 选择 [属性 】; 

(2) 在 弹出 的 窗口 中 ,鼠标 单 击 【 设 置 】. 将 看 到 如 图 7-4 所 示 的 内 容 。 

(3) 拖 动 屏幕 分 辨 率 下 面 的 滑 条 ,可 调整 屏幕 分 辨 率 。 然 后 单 击 【 应 用 3 按钮 ,将 弹出 对 
话 框 ,如 图 7-5 所 示 。 

(4) 单 击 【是 按钮 ,屏幕 分 辨 率 将 修改 为 之 前 设置 的 分 辨 率 。 

用 户 使 用 什么 模式 的 分 辩 率 ,对 于 开发 者 来 说 是 未 知 的 。 通 常情 况 下 ,需求 规格 说 明 书 
中 会 建议 某 些 分 辨 率 。 测 试 时 ,必须 针对 需求 规格 说 明 书 中 建议 的 分 辩 率 进行 专门 的 测试 。 
现在 常见 的 分 辩 率 是 1440X900、1280X1024、1027X768、800X600。 对 于 需求 规格 说 明 书 
中 规定 的 分 辩 率 ,必须 保证 测试 通过 ,对 于 其 他 常见 的 分 辩 率 .原则 上 也 应 该 尽量 保证 。 对 
于 需求 规格 说 明 书 中 没有 规定 分 辩 率 的 项 目 , 测 试 应 该 在 完成 主流 分 辩 率 的 兼容 性 测试 的 
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显示 属性 ?|x| 
主题 | 桌面 “| 屏幕 保护 程序 | 外 观 设置 | 


显示 : 
IVIDIA VS 3100 上 的 即 插 即 用 监视 器 
屏 划 分 辩 率 「 颜 色 质量 EC) - 
| | 最 高 (32 位 > 
0 1024 集 案 [| 
疑难 解答 位) 高 级 四 


CC ] 了 应 用 


图 7-4 显示 属性 设置 


[ER 


9 您 的 点 面 已 经 重新 配置 。 是 否 保留 这 些 设置 ? 


12 秒 内 恢复 


图 7-5 监视 器 设置 


前 提 下 , 尽 可 能 进行 一 些 非 主流 分 辩 率 的 兼容 性 测试 ,在 一 定 程度 上 保证 绝 大 部 分 用 户 均 能 
正常 使 用 。 

进行 分 辩 率 兼容 性 测试 时 需要 检查 下 列 内 容 。 

(1) 页 面 版 式 在 指定 的 分 辩 率 模式 下 是 否 显示 正常 。 

(2) 分 辩 率 调 高 后 字体 是 否 太 小 以 至 于 无 法 浏览 。 

(3) 分 辩 率 调 低 后 字体 是 否 太 大 。 

(4) 分 辩 率 调整 后 文本 和 图 片 是 否 对 齐 ,文本 或 图 片 是 否 显示 不 全 。 

普通 屏幕 : 640X480、800X600、1024X768、1280X1024、1600X1200 等 。 

宽屏 : 1280X720、1440X900、1680XX1050 等 。 


G.5 打印 测试 
-i 
当 网 页 中 有 一 些 重要 的 信息 或 用 户 很 感 兴趣 的 内 容 时 ,用 户 可 能 会 将 网 页 打印 下 来 。 


用 户 在 打印 网 页 时 常常 会 出 现下 列 问题 : 在 屏幕 上 显示 的 图 片 和 文本 的 排版 方式 与 打印 出 
来 的 不 一 样 ,页 面 打 印 出 来 不 美观 或 不 便于 阅读 ,页 面 内 容 打 印 不 全 ,甚至 页 面 无 法 打印 等 。 
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因此 设计 者 在 网 页 设计 的 时 候 要 考虑 到 打印 问题 ,注意 排版 美观 ,节约 纸张 等 。 测 试 时 需要 
验证 网 页 打印 是 否 正常 。 打 印 测试 时 需要 检查 下 列 内 容 。 

(1) 文字 、 表 格 、 图 片 等 是 否 打 印 正 常 ; 

(2) 没有 安装 打印 机 时 是 否 可 打印 预览 ; 

(3) 是 否 可 以 保存 网 页 ,离线 打印 ; 

(4) 忽略 背景 的 打印 是 否 正 常 ; 

(5) 不 同 操作 系统 下 打印 功能 是 否 正常 ; 

(6) 不 同 分 辨 率 下 打印 是 否 正 常 ; 

(7) 不 同 浏览 器 下 打印 是 否 正 常 。 


0.6 兼容 性 测试 缺陷 案例 


下 面 的 缺陷 是 从 言 若 金 叶 软件 研究 中 心 2013 和 2014 年 全 国 大 学 生 寻 找 产品 缺陷 
(Find Bug) 技 能 大 赛 的 稿件 中 精心 选取 的 。 


7.6.1 页 面 显示 乱码 


缺陷 标题 : 城市 空间 在 Safari 浏览 器 下 多 处 链接 页 面 文本 显示 乱码 。 
测试 平台 与 浏览 器 : Windows XP 十 Firefox 24.0 浏览 器 或 Safari 5. 1.7。 
测试 步骤 : 

(1) 打开 城市 空间 主页 http://www. oricity. com/。 

(2) 单 击 【 登 录 】 【注册 外 \ 底 栏 [联系 我 们 ] 等 链接 。 

期 望 结果 : 页 面 正常 显示 。 

实际 结果 : 页 面 文本 显示 乱码 。 如 图 7-6 所 示 。 

注 :Firefox 和 Chrome 浏览 器 上 没有 此 问题 ,如 图 7-7 所 示 。 
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图 7-6 Safari 下 的 登录 链接 页 面 文本 显示 混乱 
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图 7-7 Firefox 下 的 登录 链接 页 面 显示 正常 


7.6.2 页 面 图 片 显示 问题 


缺陷 标题 : 言 若 金 叶 软件 研究 中 心 官网 主页 ,IE 访问 有 图 片 显 示 不 对 齐 问题 。 
测试 平台 与 浏览 器 : Windows XP 十 IE 8/Firefox /Chrome。 

测试 步骤 : 

(1) 打开 言 若 金 叶 软 件 研究 中 心 官 网 www. leaf520. com。 

(2) 分 别 在 IE 与 Firefox 浏览 器 上 观察 主页 信息 。 

期 望 结果 : 各 页 面 元 素 显 示 正 确 ; 

实际 结果 : 在 IE 上 有 界面 排版 的 问题 (各 大 搜索 引擎 图 片 没 有 对 齐 ) ,如 图 7-8 所 示 。 
注 : Firefox 和 Chrome 浏览 器 上 没有 这 个 问题 ,如 图 7-9 所 示 。 
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图 7-8 I 正 上 各 大 搜索 引擎 图 片 没完 全 对 齐 
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7-9 Firefox 上 各 大 搜索 引擎 图 片 对 齐 


7.6.3 页面 文 字 重 又 


缺陷 标题 : 诺 顾 软 件 测试 团队 主页 在 不 同 浏览 器 窗口 伸缩 出 现 页 面 文 字 重 全 现象 。 


测试 平台 与 浏览 器 : Windows 7(64bit) 十 IE 9/Firefox 24.0。 
测试 步骤: 
(1) 打开 诺 顾 软件 测试 团队 官网 http://qa. roqisoft. com。 
(2) 分 别 在 IE 与 Firefox 浏览 器 窗口 缩小 观察 主页 信息 。 
期 望 结 果 : 各 页 面 元 素 显 示 正 确 。 
实际 结果 : 在 Firefox 上 有 文字 界面 排版 重 全 的 问题 ,如 图 7-10 所 示 。IE 没有 该 
es I | 
人 < 
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现象 。 
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7.6.4 JS 错误 


缺陷 标题 : 城市 空间 网 站 导航 页 面 出 现 JS 错误 。 

测试 平台 与 浏览 器 : Windows XP 十 IE 6 十 IE 10。 

测试 步骤 : 

(1) 进入 城市 空间 网 站 http://www. oricity. com/。 

(2) 查看 页 面 的 响应 。 

期 望 结果 : 页 面 正常 显示 。 

实际 结果 : 在 IE 6 中 出 现 了 JS 错误 ,如 图 7-11 所 示 。 在 IE 10 中 没有 此 问题 。 
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拉 外 bbHotsRassatEEEEIEWiE 和 


回 要 检 来 查看 此 消息 ， 请 双击 状 术 栏 上 的 警告 图 标 - 


关闭 |] 


网 页 上 有 错误 四 Internet | 保护 模式 : 启用 确 ” 外 125% > 


(3 本 章 小 结 


为 保证 Web 应 用 在 用 户 环 境 下 能 够 正常 运行 ,需要 进行 兼容 性 测试 。 本 章 介 绍 了 
Web 应 用 兼容 性 测试 的 主要 内 容 。 

操作 系统 兼容 性 测试 的 主要 目的 就 是 保证 待 测试 项 目 (Web 应 用 ) 在 指定 的 操作 系统 
平台 下 能 正常 运行 。 

浏览 器 兼容 性 主要 保证 待 测试 项 目 能 兼容 主流 浏览 器 ,保证 软件 产品 能 够 面向 大 多 数 
的 用 户 。 
分 辩 率 兼容 性 测试 是 为 了 页 面 版 式 在 不 同 的 分 辩 率 模式 下 能 正常 显示 。 


图 7-11 JS 错误 


博客 系统 测试 计划 | 


@.1 博客 系统 的 安装 
wo 


本 案例 是 一 个 功能 完善 的 博客 系统 (官方 网 站 为 http://www. phpwind. com)。 该 系 
统 从 华军 软件 园 网 站 下 载 ,版 本 为 LxBlog 6. 0( 免 费 版 )。LxBlog 6. 0 博客 系统 是 使 用 
PHP 开发 的 Web 网 站 ,需要 安装 Apache 服务 器 .MySQL 数据 库 、PHP Hypertext 
preprocessor 和 phpMyAdmin。Appserv 集成 了 以 上 内 容 , 安 装 便捷 。 下 面 介 绍 其 安装 


1. 安装 AppServ 


双击 安装 文件 ,弹出 欢迎 窗口 ,如 图 8-1 所 示 。 单 击 Next 按钮 ,进入 组 件 选择 窗口 ,如 
图 8-2 所 示 。 


岂 AppServ 2.5.10 Setup 


Welcome to the AppServ 2.5.10 

Setup Wizard 

Th Wizard wil ouide you through the nstalaton of Appsery 
.10. 

Itis recommended that you dose al other applications 


before starting Setup. This wil make it possible to update 
relevant system fles without having to reboot your 
Computer. 


Cidk Next to continue. 
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图 8-1 AppServ 安装 界面 


在 图 8-2 中 , 选择 Apache HTTP server、 MySQL Database、 PHP Hypertext 
Preprocessor 和 phpMyAdmin 这 4 个 选项 , 单 击 Next 按钮 .进入 Apache 服务 器 信息 窗口 ， 
如 图 8-3 所 示 。 在 Server Name 中 输入 服务 器 地 址 ,如 192. 168. 1. 10; 在 Adminstrator's 
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E-mail Address 中 输入 邮箱 地 址 ; 在 Apache HTTP Port 中 ,默认 是 80 端口 ,如 果 80 端口 
已 经 占用 ,可 以 使 用 8080 端口 等 。 


Select Components 
Select the components you want to instal dear the components 
you do not want to install. 


Nullsoft Install System v2,18 


au FE] oe 


图 8-2 ”Appserv 安装 组 件 选择 


局 AppServ 2.5.10 Setup [-| 


Apache HTTP Server Information 
Please enter your server's information. 


Server Name (e.g. www.appservnetwork.com) 


Admnstrators Email Address (e.g. webmaster @gmal. com) 


Apache HTTP Port (Default : 80) 
80 


Nullsoft Install System 2 
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图 8-3 ”Apache 服务 器 信息 


在 图 8-3 中 , 单 击 Next, 进 入 MySQL 数据 库 配 置 窗口 ,如 图 8-4 所 示 。 在 Enter root 
password 和 Re-enter root password 中 输入 密码 ,在 Character Sets and Collations 中 选择 
UTF-8 Unicode, 然 后 单 击 Install 按钮 进入 安装 窗口 (注意 : 请 务必 记 住 MySQL 的 密码 ， 
以 后 登录 MySQL 数据 库 时 需要 使 用 ) 。 

如 果 在 安装 过 程 中 ,Windows 弹出 安全 警报 ,选择 [解除 阻止 ] 按 钮 。AppServ 将 继续 完成 
安装 工作 。 安 装 完成 后 ,显示 如 图 8-5 所 示 的 窗口 。 如 果 选 择 Start Apache 和 Start MySQL， 
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Ne MySQL Server Configuration 
Configure the MySQL Server instance. 
MUSQL- 


Please enter Root password for MySQL Server. 
Enter root password 
| 
Re-enter root password 


-MySQL Server Setting 
Character Sets and Collations 


UTF-8 Unicode 了 


厂 old Password Support (PHP MySQL API function.) 
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图 8-4 配置 MySQL 数据 库 


轧 AppServ 2.5.10 Setup 


Completing the AppServ 2.5.10 
Setup Wizard 


AppServ 2.5. 10 has been installed on your computer. 
Click Finish to dose this wizard. 


区 Start Apache, 


WS start MySQL 


servnetwork. Com 


图 8-5 AppServ 安装 完成 
并 单 击 Finish 按钮 ,AppServ 将 打开 I 浏览 器 ,显示 AppServ 相关 信息 ,如 图 8-6 所 示 。 
2. 安装 LxBlog 博客 系统 


将 LxBlog 博客 系统 压缩 包 解压 后 , 放 在 AppServ 安装 目录 下 的 www 文件 夹 中 ,例如 
将 博客 系统 安装 文件 夹 (Blog) 放 在 “C:\AppServ\www” 中 ,然后 打开 正 浏览 器 ,在 地 址 
栏 中 输入 “http://192. 168. 1. 10/blog/install. php”, 进 入 安装 页 面 ,如 图 8-7 所 示 ( 注 : 此 
例 中 Apache 的 地 址 为 192. 168. 1. 10 ,博客 系统 安装 文件 夹 的 名 称 为 blog) 。 其 中 各 选项 
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要 填 人 的 内 容 如 下 。 数 据 库 服务 器 : 数据 库 服 务 器 的 地 址 ; 数据 库 用 户 名 : root; 数据 库 
密码 : 安装 MySQL 数据 时 输入 的 密码 ; 数据 库 名 : 输入 博客 系统 的 数据 库 名 (根据 自己 
的 喜好 填写 )。 用 户 名 、 密 码 、 重 复 密 码 和 E-mail 根据 自己 的 喜好 填写 。 单 击 页 面 下 面 的 
【下 一 步 ] 按 钮 ,系统 将 自动 进行 安装 。 安 装 完成 后 会 显示 博客 系统 主页 面 和 后 台 管 理 的 
链接 地 址 。 


到 AppServ Open Project 2.5. Microsoft Internet Explorer 


文件 中 编辑 下 ) 查看 收 亭 ) 工具 人 帮助 00 


.9.0 oe 
3 


地 址 四 ) | http://192. 188. 1. 10/ 


phpMyAdmin Database Manager Version 2.10.3 
PHP Information Yersion 5.2.6 


About AppServ Version 2.5.10 for Windows 
AppServis a merging open source software installer package for Windows includes ; 


® Apache Web ServerVersion ?2.2.8 

se PHP Script Language Version 5.2.6 

® MySQL Database Version 5.0.51b 

® phpMyAdmin Database Manager Version 2.10.3 


® ChangeLog 

® README 

® AUTHORS 

® COPYING 

e Official Site : htpywwwAppServNetworkcom 

e Hosting support by : htpywwwAppServHosting com 


Change Language : En 要 涪 


填写 数据 库 信息 与 创始 人 信息 填写 创始 人 信息 


图 8-7 博客 系统 安装 页 面 
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6.2 博客 系统 介绍 


LxBlog 博客 系统 属于 一 般 类 型 的 应 用 软件 ,用 户 要 求 各 功能 使 用 正常 ,系统 响应 比较 
快 ,运行 稳定 ,能 满足 30 000 人 正常 使 用 。 本 软件 系统 用 作 学 校 教 师 的 博客 网 站 ,以 方便 教 
师 与 学 生 的 交流 沟通 。 系 统 的 用 户 有 两 类 ,一 类 是 教师 ,是 注册 用 户 , 可 以 建立 个 人 主页 (能 
够 发 表 日 志 、 上 传 照片 .管理 音乐 等 ); 另 一 类 是 学 生 , 是 非 注册 用 户 ( 游 客 ) ,只 能 浏览 教师 
主页 ,下 载 资料 ,播放 音乐 ,留言 等 。 其 中 教师 人 数 约 为 3000 人 ,学 生 约 20 000 人 。 下 面 将 
该 系统 作为 测试 案例 , 简 述 如 何 对 Web 应 用 系统 进行 测试 。 


8.2.1 博客 系统 体系 结构 


博客 系统 为 典型 的 B/S 结构 ,客户 端 都 是 通过 浏览 器 访问 应 用 系统 。Web 服务 器 为 
Apache, 数 据 库 为 MySQL。 浏 览 器 和 Web 服务 器 之 间 的 交互 基于 HTTP 协议 。HTTP 
协议 本 身 是 无 连接 的 ,Web 服务 器 通过 Session 机 制 来 建立 一 个 浏览 器 所 发 出 的 先后 连接 
之 间 的 关联 。 

博客 系统 体系 结构 如 图 8-8 所 示 。 


Web 服 务 器 


客户 机 
客户 机 客户 机 
图 8-8 博客 系统 体系 结构 


用 户 在 使 用 系统 时 ,请求 之 后 的 事务 逻辑 处 理 和 数据 的 逻辑 运算 由 服务 器 与 数据 库 系 
统 共同 完成 ,对 用 户 而 言 是 完全 透明 的 ,运算 后 得 到 的 结果 再 通过 浏览 器 的 方式 返回 给 
用 户 。 

本 博客 系统 开发 的 软件 环境 如 下 。 

(1) 操作 系统 : Windows XP(SP2); 

(2) Web 服务 : Apache; 

(3) 数据 库 : MySQL; 

(4) 开发 语言 和 工具 : PHP 十 Zend 十 PHPWIND; 

(5) 浏览 器 : IE 6.0、IE 8.0。 


8.2.2 博客 系统 功能 
博客 系统 分 为 前 台 功 能 和 后 台 管 理 功能 。 博 客 系统 有 3 种 角色 ,分别 为 游客 ,用户 和 管 
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理 员 。 
前 台 模 块 的 功能 有 注册 登录 发表 日 志 、 结 交 朋 友 、 记 录影 像 、 搜 索 文章 等 ; 后 台 模 块 的 
功能 有 核心 功能 ,用 户 管理 模块 管理 设置 信息 管理 .菜单 选项 等 。 下 面 将 对 系统 的 各 个 主 
要 模块 的 功能 进行 分 析 , 具 体 见 表 8-1。 


表 8-1 系统 主要 模块 的 功能 分 析 


编号 模块 名 称 模块 描述 

01 ”注册 登录 游客 进入 系统 就 进入 了 博客 首页 ,已 经 注册 的 用 户 就 可 直接 登录 博客 系 
统 ; 车 没有 注册 , 则 单 击 【 注 册 】 按 钮 转换 到 注册 页 面 ,填写 注册 信息 , 注 
册 成 功 后 就 可 登录 系统 

02 ”发 表 日 志 用 户 进 入 博客 系统 后 就 可 以 在 自己 的 管理 页 面 里 添加 日 志 , 日 志 可 以 添 
加 附件 ,也 可 以 不 添加 ,用 户 对 日 志 进 行 相应 的 编辑 操作 后 ,填写 验证 码 ， 
单 击 【 提 交 】 按 钮 即 可 完成 日 志 的 发 表 

03 ”记录 影像 (上 传 照片 )》 ”记录 影像 模块 是 大 部 分 的 用 户 喜欢 的 一 个 功能 ,用 户 可 以 创建 相册 ,上 传 
自己 喜欢 的 照片 

04 ”结交 朋友 该 模块 是 博客 系统 中 一 个 个 性 的 模块 ,如 果 某 个 用 户 喜 欢 结交 同城 的 博 
友 , 便 可 以 搜索 符合 要 求 的 人 并 进行 添加 好 友 操 作 

05 ”搜索 文章 用 户 可 以 搜索 自己 喜欢 的 不 同类 型 的 文章 进行 阅读 ,并 且 可 以 留言 

06 ”核心 功能 核心 功能 主要 是 博客 系统 的 进程 优化 、 服 务 器 时 间 校 正 、 记 录 会员 在 线 时 
间 等 设 定 

07 ”用 户 管 理 管理 员 在 后 台 可 以 设置 用 户 管理 ,主要 功能 是 用 户 组 管理 ,未 验证 会 员 审 
核 ,账号 激活 会 员 资料 编辑 .删除 会 员 等 操作 

08 ”模块 管理 设置 模块 管理 设置 主要 是 对 系统 模块 的 编辑 操作 ,例如 对 最 新 文件 .最 新 商品 
进行 编辑 

09 ”信息 管理 信息 管理 是 后 台 页 面 中 的 一 个 重要 模块 ,主要 包括 公告 管理 ,广告 管理 设 
置 的 一 系列 设置 

10 ”菜单 选项 菜单 选项 是 一 个 功能 强大 的 页 面 ,在 这 个 页 面 中 , 列 出 了 后 台 的 所 有 操 


作 , 管 理 员 可 以 选择 任意 一 项 进行 相关 操作 ,这 样 提高 了 页 面 效 率 


表 8-1 是 对 系统 各 个 模块 内 功能 的 分 析 , 了 解 各 个 功能 的 作用 ,以 便 为 后 面 的 功能 测试 
设计 出 更 合理 的 测试 用 例 。 
LxBlog 博客 系统 的 功能 层次 结构 如 图 8-9 所 示 。 


LxBlog 博 客 系统 
一 
前 台 主 要 功能 后 台 主要 功能 
[ I I | I I ] [ I I ] 
用 | 用 || 发 ‖| 结 由 记 || 快 上 | 搜 | | 核 中 用 | 和 模 || 信 || 菜 
户 儿 户 镍 表 儿 交趾 录 站 乐 儿 索 心 | 户 中 块 || 奶 || 单 
注 上 | 登 上 日 吓 朋 | 影音 | 文 | | 功 || 管 上 管 | 管 || 选 
册 | 录 | 志 || 友 符 || 章 能 || 理 || 理 || 理 || 项 


8-9 ”LxBlog 博客 系统 功能 结构 图 


系统 前 台 , 用 户 登 录 的 模式 不 同 ,其 功能 也 会 不 同 。 下 面 详细 介绍 游客 模式 和 用 户 模 式 
的 功能 。 
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1. 游客 模式 


(1) 首页 

@ 浏览 首页 : 包含 发 表 日 志 、 结 交 朋 友 、 记 录影 像 . 快 乐音 符 、 打 造 个 性 等 小 模块 ,这 部 
分 功能 只 有 游客 注册 成 为 用 户 后 才 可 以 查看 具体 的 信息 。 

@ 搜索 功能 : 在 搜索 框 内 可 搜索 想 要 查询 的 日 志 、 文 章 等 。 

@ 热点 专题 : 查看 热点 问题 ,查询 分 类 热点 排行 ,主要 包括 技术 讨论 .商业 金融 、 同 城 
对 碰 、 职 业 交 流 、 星 座 奇 缘 、 原 创 空间 、 生 活 休闲 ,技术 联盟 、 体 育 联盟 、 车 行 天 下 ,查询 脚印 
排行 。 

@ 热门 文章 : 查看 最 近 的 热门 文章 、 热 评 文章 、 新 评 文章 。 

@ 最 新 加 入 : 查看 最 新 加 入 的 用 户 ,还 可 以 查看 写 手 排行 .推荐 博客 。 

最 新 文章 : 查看 最 新 发 表 的 文章 。 

@ 最 新 相册 : 查看 最 新 上 传 的 相册 信息 。 

@ 最 新 音乐 : 查看 最 新 上 传 的 音乐 。 

加 快捷 方式 : 查看 最 近 发 表 的 系统 公告 信息 ,朋友 圈 分 类 信息 友情 链接 等 。 

@@ 注册 : 游客 注册 成 为 用 户 后 可 以 进行 更 多 的 操作 。 

(2) 日志 

用 户 可 查看 日 志 。 日 志 主 要 分 为 4 类 : 技术 讨论 ,生活 人 生 ,经济 大 观 \ 时 尚 动 态 。 

(3) 相册 

查看 不 同 分 类 的 相册 。 相 册 主 要 有 明星 写真 .时 装 摄影 ,城市 风光 .日 常生 活 。 

(4) 音乐 

查看 不 同 分 类 的 音乐 。 音 乐 主要 有 流行 金曲 .影视 金曲 经 典 老 歌 。 

(5) 朋友 图 

查看 不 同 分 类 的 朋友 圈 。 朋 友 圈 主要 包括 技术 讨论 、 商 业 金 融 、 同 城 对 碰 、 职 业 交 流 、 星 
座 奇 缘 、 原 创 空 间 、 生 活 休 闲 、 体 育 联盟 、 车 行 天 下 等 。 

(6) 同城 博客 

查询 来 自 各 个 省 市 .地 区 的 用 户 。 


2. 用 户 模式 


用 户 除 了 可 以 享受 游客 能 够 进行 的 所 有 操作 外 ,在 博客 网 站 还 具有 更 多 特权 ,主要 包括 
以 下 内 容 。 

(1) 个 人 主页 : 显示 用 户 名 , 博 主 资料 \ 日 历 、 查 看 日 志 分 类 、 文 章 搜索 、 查 看 最 新 评论 、 
听 音 乐 .日志 存档 等 。 

(2) 相册 : 查看 相册 列表 和 最 新 相册 。 

(3) 音乐 : 查看 自己 喜欢 的 音乐 。 

(4) 留言 : 查看 最 近 留 言 列表 。 

(5) 管理 : 管理 自己 的 博客 。 管 理 模 块 主要 包括 以 下 10 个 小 模块 。 

@ 首页 : 提供 快速 发 布 日 志 功 能 ,填写 文章 标题 ,选择 文章 分 类 ,填写 内 容 , 快 速 发 布 
文章 ,查询 最 新 情况 。 
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@ 日 志 : 添加 日 志 、 日 志 管理 ,评论 管理 .日 志 备份 。 

@ 相册 : 添加 相册 、 相 册 管 理 、 评 论 管理 。 

@ 音乐 : 添加 音乐 .音乐 管理 .评论 管理 。 

@ 朋友 圈 : 查看 我 的 朋友 圈 、 朋 友 圈 会 员 管 理 \ 我 加 入 的 朋友 圈 、 朋 友 圈 的 文章 管理 。 
好 友 : 查看 我 的 好 友 、 好 友 推 荐 文章 。 

@ 用 户 设置 : 修改 个 人 设置 ,其 中 包括 用 户 名 ,博客 标题 ,博客 访问 权限 等 内 容 , 同 时 


管理 我 的 留言 .申请 推荐 博客 ,个 人 爱好 设置 。 


@ 首页 定制 : 页 面 设 置 . 导航 调 用 、 侧 栏 设置 .链接 管理 。 
@ 风格 定制 : 选择 系统 风格 .管理 自己 的 风格 收藏 夹 。 
四 个 人 工具 : 附件 管理 ,收藏 管理 。 


3. 管理 员 模 式 


(1) 常用 选项 

@ 核心 功能 : 进程 优化 .GZIP 压缩 输出 、 强 制 设置 编码 等 核心 功能 设置 的 开关 显示 。 
@ 用 户 管理 : 搜索 用 户 操 作 。 

@ 用 户 组 管理 : 默认 用 户 组 编辑 .会 员 组 编辑 .系统 组 编辑 .特殊 组 编辑 的 相关 操作 。 
@ 模块 管理 设置 : 查询 系统 模块 各 种 分 类 的 列表 并 进行 编辑 操作 。 

(2) 菜单 选项 

查询 所 有 的 选项 按钮 ,快捷 单 击 进行 修改 设置 。 

(3) 创始 人 选项 

进行 后 台 权 限 设置 修改 论坛 创始 人 、 常 用 选项 定制 。 

(4) 核心 选项 

@ 核心 选项 设置 : 博客 基本 功能 、 核 心 功能 .认证 码 、 搜 索引 擎 优化 .前 台 分 类 显示 的 


设置 。 


Q@ 自 定义 导航 设置 : 导航 添加 .导航 管理 的 操作 。 

@ 注册 登录 设置 : 注册 设置 和 登录 设置 。 

@ 目录 部 署 设置 : 动态 目录 、 静 态 目录 设置 。 

@ 发 表 相 关 设置 : 发 表 设 置 .附件 设置 ,图片 压 缩 ,发 表 积分 .Ajax 设置 等 。 
(5) 整合 选项 

管理 员 进行 通行 证 与 论坛 数据 整合 设置 。 

(6) 用 户 选 项 

O@ 用 户 管理 设置 : 用 户 添 加 、 用 户 管理 设置 。 

@ 用 户 组 管理 设置 : 用 户 组 统计 、 用 户 组 管理 设置 。 

@ 分 类 选项 

@ 分 类 基本 设置 : 日 志 分 类 、 相 册 分 类 、 音 乐 分 类 、 商 品 分 类 、 文 件 分 类 ,书签 分 类 、 用 


户 分 类 、 朋 友 圈 分 类 设置 。 


@@ 分 类 内 容 设 置 : 日 志 内 容 、 相 册 内 容 、 音 乐 内 容 、 商 品 内 容 、 文 件 内 容 、 书 签 内 容 、 留 


言 内 容 设置 。 


分 类 评论 设置 : 日 志 评论 、 相 册 评 论 、. 音 乐 评论 .商品 评论 文件 评论 书签 评论 的 


设置 。 
(7) 朋友 圈 选 项 
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朋友 圈 选 项 包括 朋友 圈 设 置 、 朋 友 圈 管理 .朋友 圈 文 章 管理 设置 。 
(8) 模块 合 缓存 选项 
模块 和 缓存 选项 进行 模块 管理 设置 缓存 数据 更 新 相关 操作 。 


(9) 信息 管理 选项 
Oa 公告 管理 设置 : 
@ 广告 管理 设置 : 
@ 爱好 管理 设置 : 
@ 投票 数据 管理 : 
@@ 标签 Tag 管理 : 
@ 风格 管理 设置 : 
@ 网 站 辅助 管理 : 


公告 管理 .公告 添加 设置 。 

广告 管理 .广告 添加 设置 。 

投票 管理 .投票 添加 设置 。 

爱好 分 类 、 爱 好 管理 设置 。 

Tag 管理 。 

网 站 风格 管理 .个 人 风格 管理 设置 。 
宣传 设置 和 友情 链接 管理 。 


(10) 安全 过 滤 选 项 

安全 过 滤 选 项 实现 对 相关 的 词语 过 滤 .IP 禁止 和 其 他 安全 设置 。 

(11) 系统 工具 选项 

系统 工具 选项 实现 数据 库 管理 ,数据库 备份 ,数据库 恢复 .数据库 修复 操作 。 


@.3 博客 系统 测试 计划 


8.3.1 测试 需求 


本 次 测试 的 目标 是 对 博客 系统 进行 较 全 面 的 系统 级 测试 ,检查 核心 模块 功能 是 否 正 
确 , 验 证 系统 性 能 是 否 满足 用 户 需 求 ,检查 系统 是 否 存在 安全 性 、 兼 容 性 、 易 用 性 等 方面 
的 问题 。 测 试 之 后 ,给 出 完整 的 测试 报告 和 修改 建议 。 本 次 测试 主要 包括 以 下 几 个 方面 


的 测试 。 
1. 功能 测试 


在 功能 测试 中 ,主要 测试 登录 模块 ,发 表 日 志 模块 和 相册 模块 ,并 进行 链接 测试 ,检查 各 
链接 是 否 正常 。 各 个 模块 功能 测试 需求 见 表 8-2 。 


表 8-2 各 个 模块 功能 测试 需求 


功能 模块 功能 描述 需求 标识 测试 需求 /测试 要 点 

用 户 登 录 游客 可 以 注册 成 为 REQ-01 ”用户 登 录 包括 用 户 名 、 密 码 ,验证 码 有 效 期 等 选项 
用 户 , 并 进行 登录 全 部 信息 填写 正确 单 击 【 提 交 ] 按 钮 ,系统 能 自动 登录 
操作 主页 


用 户 名 不 重复 , 且 大 小 写 能 区 分 
用 户 名 长 度 在 3 一 16 位 ,不 能 包含 特殊 字符 
密码 长 度 在 4 一 16 位 之 间 
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续 表 
功能 模块 功能 描述 需求 标识 测试 需求 /测试 要 点 
发 表 日 志 ”用 户 可 以 在 自己 的 。” REQ-02 用 户 正 确 登录 个 人 主页 系统 并 进入 发 表 日 志 页 面 
主页 发 表 日 志 日 志 标 题 控 制 在 100B 以 内 


如 果 选 择 心情 按钮 后 ,发 表 的 日 志 中 有 心情 图 标 
文章 内 容 最 新 长 度 应 该 在 3 一 5000B 以 下 


日 志 中 可 以 上 传 附件 
上 传 照片 ”用 户 可 以 创建 相册 REQ-03 用 户 正确 登录 个 人 主页 系统 并 进入 相册 页 面 
并 上 传 照片 相册 标题 最 小 在 3B 以 上 


上 传 照片 格式 为 jpg、gif 格式 
上 传 附件 大 小 为 102 400B 以 内 


2. 性 能 测试 


性 能 测试 中 ,需要 测试 不 同 负载 下 系统 的 表现 ,并 获得 系统 的 响应 能 力 、 负 载 能 力 ,吞吐 
率 和 资源 利用 率 等 性 能 指标 。 根 据 测试 结果 分 析 系 统 性 能 。 在 此 主要 测试 多 个 用 户 同时 登 
录 系 统 , 发 表 日 志 、 上 传 照 片 等 操作 的 性 能 。 

性 能 测试 时 需要 对 系统 的 业务 流程 进行 分 析 , 设 计 出 测试 用 例 。 然 后 根据 测试 用 例 编 
写 测试 脚本 ,并 根据 需求 分 析 制 定 相 应 的 场景 ,执行 测试 脚本 ,对 系统 施加 压力 。 在 测试 过 
程 中 监视 各 种 性 能 指标 和 数据 ,最 后 根据 数据 分 析出 系统 可 能 存在 的 性 能 瓶颈 ,并 给 出 调 优 
建议 。 

3. 安全 性 测试 


安全 性 测试 主要 是 根据 一 些 常 见 的 漏洞 设计 一 些 攻击 方法 和 测试 用 例 ; 攻击 系统 , 验 
证 系统 是 否 存 在 这 些 常 见 的 漏洞 ; 最 后 得 出 系统 的 漏洞 列表 以 及 修复 的 方法 。 


4. 用 户 界 面 测 试 


用 户 界面 测试 是 检查 系统 在 界面 上 的 问题 ,如 单词 的 拼写 错误 .按钮 大 小 不 一 致 .图 片 
显示 不 全 等 , 尽 可 能 找 出 所 有 界面 上 的 问题 。 


5. 兼容 性 测试 


兼容 性 测试 主要 是 查看 系统 在 不 同 的 浏览 器 不 同 的 操作 系统 、 不 同 的 分 辨 率 下 的 表 
现 ,测试 系统 在 兼容 性 方面 的 能 力 。 


8.3.2 测试 资源 
1. 测试 环境 


(1) 硬件 设备 : 服务 器 ,笔记 本 电脑 。 

(2) 软件 环境 

Oz 操作 系统 : Windows 7(Microsoft Windows7 64 位 )、Windows XP(WinXP2002 Service 
Pack3); 
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@ Web 服务 器 : Apache; 

@ 数据 库 : MySQL; 

@ 相关 软件 : HP Quick Test 11 .HP Loadrunner 11 IJBM Rational AppScan8. 7、Xenu 
Link Sleuth IE 浏览 器 等 。 

(3) 网 络 环境 : 学 校内 部 的 以 太 网 ,与 服务 器 的 连接 速率 为 100MB/s, 与 客户 端的 连接 
速率 为 10/100MB/s 即 可 。 


2. 测试 工具 


功能 测试 运用 手工 测试 和 自动 化 测试 相 结 合 的 方式 。 对 于 自动 化 功能 测试 ,采用 HP 
UFT; 在 链接 测试 中 ,采用 Xenu Link Sleuth; 性 能 测试 工具 采用 HP LoadRunner。 测 试 
本 系统 用 到 的 工具 如 表 8-3 所 示 。 


表 8-3 测试 工具 
用 途 工 具 生产 厂商 / 自 产 版 本 
性 能 测试 LoadRunner HP LoadRunner 11 试用 版 
链接 测试 Xenu Link Sleuth Xenu Xenu Link Sleuthl. 38 
自动 化 测试 Quick Test HP QuickTest 11 试用 版 
安全 性 测试 AppScan IBM AppScan8. 7 试用 版 


3. 文档 资料 


对 博客 系统 进行 系统 测试 ,需要 参阅 软件 需求 文档 、 可 行 性 分 析 报 告 .模块 开发 手册 等 
资料 。 

测试 需要 提交 的 文档 有 : 

(1) 测试 计划 ; 

(2) 测试 用 例 设 计 文 档 ; 

(3) 测试 脚本 ; 

(4) 测试 执行 报告 ; 

(5) 测试 缺陷 报告 ; 

(6) 测试 总 结 报 告 。 


8.3.3 测试 策略 
1. 功能 测试 


功能 测试 的 目的 是 确保 系统 的 功能 正常 ,如 导航 、 数 据 输 入 处理 是 否 正确 ,以 及 业务 规 
则 的 实施 是 否 恰当 。 对 交互 的 输出 或 结果 进行 分 析 , 以 核实 应 用 程序 的 功能 。 

本 次 功能 测试 的 重点 是 登录 模块 发表 日 志 模 块 和 相册 模块 ,测试 策略 定义 见 表 8-4 一 
表 8-6。 

备注 : 不 是 所 有 模块 的 缺陷 都 能 在 一 定 的 时 间 内 解决 ,根据 缺陷 的 优先 级 别 来 划分 解 
决 的 百分比 ,只 能 力争 100% 的 解决 (这 是 一 种 理想 情况 ) 。 
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表 8-4 有 登录 模块 测试 策略 


测试 策略 项 登录 模块 测试 
测试 类 型 功能 测试 
测试 技术 10% 用 手工 测试 ,90% 用 HP Quick Test 测试 工具 自动 测试 
测试 通过 /失败 标准 100% 测 试用 例 通 过 ,并 且 所 有 缺陷 全 部 解决 
特殊 考虑 无 
表 8-5 发 表 日 志 模 块 测试 策略 
测试 策略 项 发 表 日 志 模 块 测试 
测试 类 型 功能 测试 
测试 技术 手工 测试 
测试 通过 /失败 标准 100% 测 试用 例 通 过 ,并 且 所 有 缺陷 全 部 解决 
特殊 考虑 需要 进行 表单 测试 和 数据 库 测试 
表 8-6 相册 模块 测试 策略 
测试 策略 项 相册 模块 
测试 类 型 功能 测试 
测试 技术 手工 测试 
测试 通过 /失败 标准 100% 测 试用 例 通 过 ,并 且 所 有 缺陷 全 部 解决 
特殊 考虑 可 使 用 场景 测试 法 


在 功能 测试 中 ,设计 测试 用 例 要 注意 以 下 几 点 。 
(1) 测试 项 目的 输入 域 要 全 面 。 要 有 合法 数据 的 输入 ,也 要 有 非法 数据 的 输入 。 


(2) 划分 等 价 类 ,提高 测试 效率 。 在 考虑 测试 域 全 面 性 的 基础 上 ,要 划分 等 价 类 ,选择 


有 代表 意义 的 少数 用 例 进行 测试 ,提高 测试 效率 。 
(3) 要 适时 利用 边界 值 进 行 测试 ,并 选取 一 些 特殊 值 作为 补充 。 


(4) 重复 递交 相同 的 事务 。 


(5) 不 按照 常规 的 顺序 执行 功能 操作 ( 即 随机 测试 或 者 探索 性 测试 ) 。 
(6) 执行 正常 操作 ,观察 输出 的 结果 是 否 异 常 。 


2. 性 能 测试 


性 能 测试 主要 是 对 响应 时 间 、 事 务 处 理 速率 和 其 他 与 时 间 相 关 的 需求 进行 评测 和 评估 ， 
核实 系统 性 能 需求 是 否 都 已 满足 。 


性 能 测试 的 内 容 很 多 ,本 次 性 能 测试 中 重点 进行 用 户 并 发 性 能 测试 。 


对 核心 功能 模块 进行 用 户 并 发 测试 ,可 以 知道 数据 库 服 务 、 操 作 系 统 、 网 络 设 备 等 是 否 


能 够 承受 住 考验 ,同时 可 以 对 瓶颈 进行 分 析 。 


本 次 进行 用 户 并 发 测试 的 模块 有 登录 模块 ,发 表 日 志 模 块 和 相册 模块 。 测 试 策略 见 


表 8-7 一 表 8-10。 
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表 8-7 ”登录 模块 并 发 性 能 测试 


测试 策略 项 登录 模块 并 发 测试 
测试 技术 采用 LoadRunner 测试 工具 进行 自动 化 测试 
测试 通过 /失败 标准 | 80% 的 事务 平均 响应 时 间 不 超过 8 秒 , 每 一 事务 的 响应 时 间 不 超过 10 秒 
特殊 考虑 (1) 可 创建 “虚拟 的 ”用户 负载 来 模拟 多 个 (通常 为 数 百 个 ) 客 户 机 
(2) 最 好 使 用 多 台 实 际 客户 机 (每 台 客户 机 都 运行 测试 脚本 ) 在 系统 上 添加 负载 
(3) 多 用 户 不 同 网 络 条 件 下 的 连接 速度 是 否 满足 要 求 
表 8-8 发 表 日 志 并 发 性 能 测试 
测试 策略 项 发 表 日 志 模 块 并 发 测试 
测试 技术 采用 LoadRunner 测试 工具 进行 自动 化 测试 
测试 通过 /失败 标准 | 80% 的 事务 平均 响应 时 间 不 超过 8s, 每 一 事务 的 响应 时 间 不 超过 15s 
特殊 考虑 (1) 可 创建 “虚拟 的 ”用 户 负载 来 模拟 许多 个 (通常 为 数 百 个 ) 客 户 机 
(2) 最 好 使 用 多 台 实 际 客户 机 (每 台 客户 机 都 运行 测试 脚本 ) 在 系统 上 添加 负载 
(3) 对 用 户 提交 的 表单 进行 检查 
表 8-9 相册 模块 并 发 性 能 测试 
测试 策略 项 相册 模块 并 发 测试 
测试 技术 采用 LoadRunner 测试 工具 进行 自动 化 测试 
测试 通过 /失败 标准 | 80% 的 事务 平均 响应 时 间 不 超过 10s, 每 一 事务 的 响应 时 间 不 超过 15s 
特殊 考虑 (1) 可 创建 “虚拟 的 ”用户 负载 来 模拟 多 个 (通常 为 数 百 个 ) 客 户 机 
(2) 最 好 使 用 多 台 实 际 客户 机 (每 台 客户 机 都 运行 测试 脚本 ) 在 系统 上 添加 负载 
(3) 上 传 照片 时 ,考虑 不 同 大 小 的 附件 
表 8-10 组合 模块 并 发 性 能 测试 
测试 策略 项 组 合 模块 并 发 测试 
测试 技术 采用 LoadRunner 测试 工具 进行 自动 化 测试 
测试 通过 /失败 标准 | 80% 的 事务 平均 响应 时 间 不 超过 10s, 每 一 事务 的 响应 时 间 不 超过 15s 
特殊 考虑 (1) 组 合 模 块 包括 登录 模块 发 表 日 志 模 块 .相册 模块 


(2) 可 创建 “虚拟 的 ”用 户 负载 来 模拟 许多 个 (通常 为 数 百 个 ) 客 户 机 
(3) 根据 用 户 实际 使 用 情况 分 配 各 业务 模块 的 用 户 数目 


备注 : 在 进行 并 发 测试 时 需要 分 析出 每 天 在 什么 时 间 各 个 模块 使 用 的 用 户 最 多 ,这 样 
可 以 计算 出 平均 虚拟 用 户 数 和 最 大 虚拟 用 户 数 。 


3. 用 户 界 面 测试 
用 户 界面 测试 用 于 核实 用 户 与 软件 之 间 的 交互 是 否 正常 。 本 次 界面 测试 中 , 需 核实 下 


列 内 容 。 


(1) 确保 各 种 浏览 以 及 各 种 访问 方法 (鼠标 移动 ,快捷 键 等 ) 都 使 用 正常 
(2) 确保 窗口 对 象 及 其 特征 (菜单 、 大 小 、 位 置 、 状 态 和 中 心 ) 都 符合 标准 。 
用 户 界面 测试 的 检查 项 可 参考 表 8-11。 
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表 8-11 用 户 界面 测试 检查 项 


检 查 项 测试 人 员 的 类 别 及 其 评价 
窗口 切换 、 移 动 改变 大 小 时 是 否 正常 
各 种 界面 元 素 的 文字 是 否 正确 (如 标题 .提示 等 ) 
各 种 界面 元 素 的 状态 是 否 正确 (如 有 效 、 无 效 、 选 中 等 状态 ) 
各 种 界面 元 素 是 否 支 持 键盘 操作 
各 种 界面 元 素 鼠标 操作 是 否 正确 
对 话 框 中 的 缺 省 焦点 是 否 正确 
数据 项 能 否 正确 回 显 
对 于 常用 的 功能 ,用 户 能 否 不 必 阅 读 手册 就 能 使 用 
执行 有 风险 的 操作 时 是 否 有 “确认 ”“ 放 弃 ” 等 提示 
操作 顺序 是 否 合理 
按钮 排列 是 否 合理 
导航 帮助 是 否 明确 
提示 信息 是 否 规范 
在 不 同 的 浏览 器 下 用 户 界面 的 所 有 元 素 显 示 是 否 正常 
在 调整 分 辩 率 的 情况 下 用 户 界面 的 所 有 元 素 显 示 是 否 正常 
在 同一 种 浏览 器 下 ,浏览 器 的 版 本 不 同 用 户 界面 显示 是 否 正常 


4. 安全 性 测试 


通过 非法 登录 ,漏洞 扫描 ,模拟 攻击 等 方式 检测 系统 的 认证 机 制 、 加 密 机 制 . 防 病毒 功能 
等 安全 防护 策略 的 健壮 性 。 


5. 兼容 性 测试 

通过 硬件 兼容 性 测试 .软件 兼容 性 测试 和 数据 兼容 性 测试 来 考察 软件 的 跨 平台 .可 移植 
的 特性 。 

8.3.4 测试 标准 

在 做 测试 前 ,要 先 制定 出 各 项 测试 标准 ,对 不 同 的 软件 项 目 ,测试 的 侧重 点 不 同 ,所 关注 
的 性 能 指标 也 不 同 , 因 此 测试 的 标准 也 不 同 。 

1. 测试 特征 

功能 性 (40%) ,效率 (25%)、 可 靠 性 (25%)、 可 移植 性 (25%)、 可 维护 性 (5%)。 

2. 输出 准则 


(1) 文档 : 系统 测试 说 明 、 系 统 测试 报告 。 

(2) 覆盖 率 : 计划 测试 覆盖 率 98% 以 上 ,执行 测试 覆盖 率 100% 。 

(3) 功能 质量 标准 : 缺陷 遗留 数 中 严重 缺陷 0 个 , 较 严 重 缺陷 5 个 ,一般 缺陷 10 个 ,次 
要 缺陷 20 个 。 

(4) 性 能 质量 标准 。 

@ 单个 事务 或 单个 用 户 : 在 每 个 事务 所 预期 或 要 求 的 时 间 范 围 内 成 功 地 完成 测试 脚 
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本 ,没有 发 生 任何 故障 。 响 应 时 间 不 超过 8s。 

@ 多 个 事务 或 多 个 用 户 : 在 可 接受 的 时 间 范 围 内 成 功 地 完成 测试 脚本 ,没有 发 生 任何 
故障 。10 个 用 户 时 ,90% 的 事务 平均 响应 时 间 不 超过 5s, 每 一 事务 的 响应 时 间 不 超过 10s; 
50 个 用 户 时 ,90% 的 事务 平均 响应 时 间 不 超过 8s, 每 一 事务 的 响应 时 间 不 超过 15s; 100 个 
并 发 用 户 时 ,90% 的 事务 平均 响应 时 间 不 超过 10s, 每 一 事务 的 响应 时 间 不 超过 20s。 


3. 缺陷 严重 级 别 定义 


表 8-12 缺陷 等 级 划分 表 


级 别 缺陷 严重 等 级 严重 程度 
1 严重 缺陷 不 能 执行 正常 工作 或 重要 功能 ,使 系统 崩溃 或 者 资源 严重 不 足 
2 较 严 重 缺 陷 严重 影响 系统 要 求 或 基本 功能 的 实现 , 且 没有 办 法 更 正 
3 一 般 缺 陷 严重 影响 系统 要 求 或 基本 功能 的 实现 ,但 存在 合理 的 办 法 更 正 
4 次 要 缺陷 使 操作 者 不 方便 或 者 遇 到 麻烦 ,但 不 影响 执行 工作 或 功能 的 实现 
站 改进 型 缺陷 对 系统 使 用 的 友好 型 有 影响 


4. 系统 响应 时 间 判 断 原则 


(1) 系统 业务 响应 时 间 小 于 2s, 判 为 优秀 ,用 户 对 系统 感觉 很 好 。 

(2) 系统 业务 响应 时 间 在 2 一 5s, 判 为 良好 ,用 户 对 系统 感觉 一 般 。 

(3) 系统 业务 响应 时 间 在 5 一 10s, 判 为 及 格 , 用 户 对 系统 感觉 勉强 接受 。 

(4) 系统 业务 响应 时 间 超 过 10s, 判 为 不 及 格 ,用 户 无 法 接受 系统 的 响应 速度 。 


博客 系统 测试 


在 本 案例 中 的 功能 测试 部 分 ,重点 介绍 登录 模块 发表 日 志和 相册 的 功能 测试 ,以 及 系 
统 的 链接 测试 。 
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9.1.1 用 户 登 录 测 试 


用 户 进行 登录 操作 时 需要 输入 用 户 名 ,密码 和 验证 码 , 然 后 单 击 【登录 按钮 或 者 按 回 车 
键 。 如 果 用 户 名 ,密码 和 验证 码 均 正确 , 即 可 登录 系统 ,否则 给 出 相应 提示 。 用 户 登录 界面 
如 图 9-1 所 示 。 另 外 ,网 站 中 还 有 一 个 单独 的 登录 页 面 ,其 测试 方法 与 此 相似 。 

登录 模块 功能 比较 简单 ,进行 测试 时 除了 要 验证 登录 功 
能 是 否 正确 ,还 要 检查 登录 模块 的 安全 性 、 易 用 性 等 非 功能 特 
性 。 下 面 对 主 页 上 的 登录 模块 进行 功能 测试 。 


1. 测试 用 例 设 计 


对 登录 模块 进行 测试 时 ,需要 验证 系统 的 登录 功能 是 否 图 9-1 登录 界面 
正常 。 一 方面 是 用 已 经 注册 的 用 户 进行 验证 ,输入 正确 的 用 

户 名 \ 正 确 的 密码 和 正确 的 验证 码 ,能 够 成 功 登录 进入 系统 ,并 跳 转 到 相应 页 面 ; 另 一 方面 ， 
还 要 考虑 各 种 特殊 情况 ,验证 系统 是 否 能 进行 恰当 的 处 理 。 根 据 登录 操作 的 特点 ,采用 等 价 
类 和 边界 值 方法 设计 测试 用 例 。 登 录 个 人 主页 的 测试 用 例如 表 9-1 所 示 。 


表 9-1 登录 个 人 主页 测试 用 例 


项 目 名称 | 登录 功能 测试 项 目 编号 Login 

模块 名 称 | 登录 开发 人 员 Liu yang 

测试 类 型 | 功能 测试 参考 信息 需求 规格 说 明 书 、 设 计 说 明 书 

优先 级 中 用 例 作 者 Wang 设计 日 期 2014. 6. 10 

测试 方法 ee 测试 人 员 Lan 测试 日 期 2014. 6. 20 

测试 对 象 | 测试 系统 登录 功能 是 否 正 确 

前 置 条 件 存在 正确 的 用 户 名 和 密码 ,登录 页 面 正 常 装载 (已 注册 的 两 个 用 户 : 用 户 名 为 wang, 密 码 为 
123456; 用 户 名 为 lan, 密 码 为 Lan123) 


续 表 
太 
用 例 编号 操作 输入 数据 预期 结果 实际 结果 [人 
输入 正确 的 用 户 名 、| 用 户 名 : wang 
正确 的 密码 和 正确 | 密码 : 123456 
Login-01 | 的 验证 码 , 单 击 【 登 | 验证 码 , 图 片 中 | 正常 登录 下 ” 
录 ] 按 钮 的 数字 
输入 正确 的 用 户 名 、| 用 户 名 : wang 
正确 的 密码 和 正确 | 密码 : 123456 
Login_02 的 验 证 码 ， 按 | 验证 码 ; 图 片 中 正常 登录 正常 登录 P 
Enter 键 的 数字 
用 户 名 错误 (未 区 分 | 用 户 名 : WanG 
oun 03 | 大 小 写 ), 其 余 输入 | 密码 , 123456 | 提示 “用 户 名 不 存 | 正常 登录 ,用 户 名 | 下 
Sn | 项 正确 , 单 击 【 登 录 】| 验证 码 , 图 片 中 | 在 或 错误 ” 未 区 分 大 小 写 
按钮 的 数字 
用 户 名 正确 ,密码 错 | 用 户 名 : lan 。 | 提示 “密码 错误 ，| 提示 “密码 错误 ， 
Login_04 | 误 (未 区 分 大 小 写 )，| 密码 * lanl23 。 | 您 还 可 以 尝试 5 | 您 还 可 以 尝试 5| P 
8n- | 验证 码 正确 , 单 击 | 验证 码 , 图 片 中 eis 加 
【和 登录] 按钮 的 数字 
输入 错误 的 用 户 或 | 各 名 各 :iY。 | 提示 * 用 户 名 jew | 返回 登录 页 面 时 ， 
Login-05 | 者 未 注册 的 用 户 名 ，| 验证 冯 ， 图 片 中 | 不 存在 ", 并 清空 | 未 清空 用 户 名 输 | 下 
单 击 【登录 按钮 用 户 名 输入 框 入 框 
的 数字 
用 户 名 和 验证 码 输 | 用 户 名 : wang | 提示 “密码 错误 ,| 提示 “密码 错误 ， 
Louin 06 | 信 正确 ,密码 首次 输 | 密码 ; 12ertf 。 | 您 可 以 尝试 5 | 您 可 以 尝试 5| 
gm | 入 错误 , 单 击 [ 登 录 】| 验证 码 : 图 片 中 | 次 ”, 并 清空 密码 | 次 ”, 并 清空 密码 
按钮 的 数字 输入 框 输入 框 
用 户 名 和 验证 码 输 | 用 户 名 : wang | 提示 “密码 错误 ,| 提示 “密码 错误 ， 
ois 07 | 和 正确 ,密码 第 二 次 | 密码 : werl23 | 您 可 以 尝试 4| 您 可 以 尝试 4| 
"| 输入 错误 , 单 击 【 登 | 验证 码 : 图 片 中 | 次 ”, 并 清空 密码 | 次 *, 并 清空 密码 
录 ] 按 钮 的 数字 输入 框 输入 框 
用 户 名 和 验证 码 输 | 用 户 名 : wang | 提示 “密码 错误 ,| 提示 “密码 错误 ， 
Lowin_08 | 入 正 确 ,密码 第 三 次 | 密码 ; werl23 | 您 可 以 尝试 3 | 您 可 以 尝试 3| ， 
?2m | 输入 错误 , 单 击 【 登 | 验证 码 : 图 片 中 | 次 ”, 并 清空 密码 | 次 ”, 并 清空 密码 
录 ] 按 钮 的 数字 输入 框 输入 框 
用 户 名 和 验证 码 输 | 用 户 名 : wang | 提示 “密码 错误 ,| 提示 “密码 错误 ， 
Lwin 0 | 入 正确 ,密码 第 四 次 | 密码 ; werl23 “| 您 可 以 尝试 2| 您 可 以 尝试 2| ， 
& "| 输入 错误 , 单 击 【 登 | 验证 码 : 图 片 中 | 次 ”, 并 清空 密码 | 次 ”, 并 清空 密码 
录 ] 按 钮 的 数字 输入 框 输入 框 
用 户 名 和 验证 码 输 | 用 户 名 : wang | 提示 “密码 错误 ,| 提示 “密码 错误 ， 
| si 10 | 入 正确 ,密码 第 五 次 | 密码 ; 123123 “| 您 可 以 尝试 1 | 您 可 以 尝试 1| ， 
?gm | 输入 错误 , 单 击 【 登 | 验证 码 : 图 片 中 | 次 ”, 并 清空 密码 | 次 ”, 并 清空 密码 
录 ] 按 钮 的 数字 输入 框 输入 框 
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续 表 
太 
用 例 编号 操作 输入 数据 预期 结果 实际 结果 [1 
用 户 各 和 验证 码 输 | 用 户 名 , wang | 提示 “已 经 连续 6 | 提示 “已 经 连续 6 
Loain 11 | 和 正确 ,密码 第 六 次 | 密码 : 123123 。 | 次 密码 输入 错误 ，| 次 密码 输入 错误 ，| 。 
-11 | 输入 错误 , 单 击 【 登 | 验证 码 : 图 片 中 | 您 将 在 10 分 钟 内 | 您 将 在 10 分 钟 内 
录 ] 按 乌 的 数字 无 法 正常 登录 | 无 法 正常 登录 ” 
输入 错误 的 用 户 名 | 用 户 名 : wanyy 2 
， | 和 错误 的 密码 ,验证 | 窗 码 ; dw54f ”| 提示 “用 户 名 | 返回 登录 页 面 时 ， 
Legin-12 | 码 正确 , 单 击 【登录 】| 验证 码 : 图 片 中 | Yenyy 不 存在 "| 未 清空 用 户 名 输 | 开 
按钮 ” 的 数字 并 清空 输入 框 入 框 
用 户 名 : wang 
用 户 名 、 密 码 正确 ,| 密码 : 123456 Pe 二 
Login_13 | 验证 码 输入 错误 , 单 | 验证 码 , 输入 的 et 车 古 克 证 入 驻 这 辐 轴 到 | 司 
击 [登录 按钮 数字 与 图 片 中 
的 数字 不 一 致 
2 uw wer | 用 户 名 ， 
人 密码 : 123456 | 提示 “请 输入 用 户 | 出 现 * 用 户 名 不 存 | 下 
Se 扳机 验证 码 : 图 片 中 | 名 ” 在 "提示 
的 数字 
四 用 户 名 : wang 
| 四 六 名 和 和 台 证 如 下 | 和 页， 提示 “ 必 填 项 为 | 提示 “ 必 填 项 为 
Login_15 | 确 ,密码 为 空 , 单 击 | ，、 2 P 
de 验证 码 : 图 片 中 | 空 空 
的 数字 
用 户 名 和 密码 正确 , | 用 户 各; wang | sm、 和 
Login_16 | 验证 码 为 空 , 单 击 | 密码 : 123456 ed 验证 码 不 正 8 验证 码 不 正 |  p 
【登录 ] 按 钮 验证 码 ; 
用 户 名 ， 
Lin 17 | 用 户 名 和 密码 为 空 ，| 密码 ， 提示 “ 必 填 项 为 | 提示 “ 必 填 项 为 | 
”| 验证 码 正确 验证 码 : 图 片 中 | 空 ” 空 ” 
的 数字 
用 户 名 正确 ,密码 和 | 用 户 名 : wang - 
Login_18 | 验证 码 为 空 , 单 击 | 密码 : 出 现 “ 必 填 项 为 | 出 现 “ 必 填 项 为 |  P 
【登录 按钮 验证 码 人 Ris 
用 户 名 和 验证 码 为 | 用 户 名 ， a Se 
Login_19 | 空 ,只 输入 密码 , 单 | 密码: 123456 有 必 填 项 为 > 必 填 项 为 | 了 
击 [登录 按钮 验证 码 : 
用 户 名 .密码 和 验证 | 用 户 名 ， on. oe 
Login_20 | 码 均 为 空 ,直接 单 击 | 密码 ed ss | 
【和 登录] 按钮 验证 码 : 
用 户 名 :wang 
用 户 名 正 费 ,全 江 所 | 十 2 个 空格 正常 登录 ,能 自动 
Login_21 码 和 验证 码 正确 , 单 密码 : 123456 ”| 正常 登录 去 除 字符 串 后 面 P 
” “| 验证 码 : 图 片 中 的 空格 


击 【 登 录 ] 按 钮 


的 数字 


续 表 
太 
用 例 编号 操作 输入 数据 预期 结果 实际 结果 | 
用 户 名 : wang 
用 户 名 和 验证 码 正 | 密码 : 123456 十 | 提示 “密码 错误 ,| 提示 “密码 错误 
Login_22 | 确 ,密码 正确 ,但 其 | 3 个 空格 您 还 可 以 尝试 5 | 您 还 可 以 尝试 5 P 
后 有 一 至 多 个 空格 “| 验证 码 : 图 片 中 | 次 ” 次 ” 
的 数字 
用 户 名 : 空格 十 
用 户 名 正确 ,但 前 面 | wang ee 
Login_23 | 有 空格 ,验证 码 和 密 | 密码 , 123456 | 正常 登录 Pe F 
码 正确 验证 码 : 图 片 中 
的 数字 
用 户 名 : wang 
ow 24 | 是 放 备 和 密 碍 正确 。| 密码 123456 | 提示 “认证 码 不 正 | 提示 “认证 码 不 正 
ogin_24 | 验证 码 正确 ,但 其 后 a 和 » P 
效 证 吾 交 殉 舍 其 后 | 验证 码 , 图 片 中 | 确 确 
的 数字 十 2 空格 
用 户 名 : wang 
输入 用 户 名 ,等 待 较 | 等待 5 分 钟 输 
Login_25 | 长 时 间 才 输入 密码 | 和 人 密码, 123456 | 正常 登录 a 
和 验证 码 验证 码 : 图 片 中 
显示 的 数字 
用 户 名 : wang 
.ows 26 | 答 人 四 厂 扣 , 动 上 切 | 切换 到 Word 程 | 光标 位 置 应 停 在 | 光标 位 置 应 停 在 
ogin_26 | 换 到 其 他 程序 ,过 一 P 
痪 到 癌 人 程序 "这 一 | 序 , 过 1 分 钟 再 | 原 处 原 处 
切换 回来 
用 户 名 : 257 个 
字符 , wn 
Login_27 i 密码 : 123456 2 用 户 名 不 存 a 用 户 名 不 存 下 
验证 码 : 图 片 中 
显示 的 数字 
用 户 名 : wang 
。 | 在 密码 框 中 输入 超 | 密码 :300 字符 | oo | my 
Login_28 | 在 密码 检 密 辜 300 字符 | 提示 “密码 错误 ” | 提示 “密码 错误 p 
显示 的 数字 
用 户 名 : OR 'a' 
输入 用 户 和 名、 密码 和 | = a i 
Login_29 | 验证 码 , 单 击 [登录 】| 密码 , 123456 ”| 提示 “用 户 名 不 存 | 提示 “用 户 名 不 存 |  P 
按钮 验证 码 ; 图 片 中 
显示 的 数字 
用 户 名 ， 
= script > alert 
输入 用 户 名 、 密 码 和 | (\'xss') 2 eo 
Login_30 | 验证 码 , 单 击 [登录 】 | 三 /scripc> | 要 水" 用 户 名 不 存 | 失 东 用户 名 不 存 | 
按钮 密码 : 123456 
验证 码 : 图 片 中 


显示 的 数字 
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续 表 
太 
用 例 编号 操作 输入 数据 预期 结果 实际 结果 ee 
登录 成 功 后 , 单 击 es i 
| 用 户 处 于 退出 状态 | 用 户 处 于 退出 状态 | P 
- 用 户 [ 注 销 ] 后 , 单 击 
Login_32 登录 按钮 打开 登录 页 面 到 
Login 33 | 登录 成 功 后 , 单 击 用 户 仍然 处 于 登 bp 
-| 刷新] 按钮 录 状 态 
用 户 名 : wang 
让 密码 : 123456 “| 提示 “zhang 不 能 | 提示 “zhang 不 能 
用 户 吕 六 六 验证 码 , 图 片 中 | 重复 登录 ” 重复 登录 ” 
显示 的 数字 
多 个 不 同 的 用 户 合 用 户 信息 正确 , 没 
Login_35 | 录 系 纪 检查 用 户 信息 | 有 串 号 问题 用 户 信息 正确 Pp 
登录 后 ,1 小 时 内 未 
Login_36 | 在 页 面 活动 ,再 次 单 提示 输入 密码 提示 输入 密码 P 
击 页 面 
登录 成 功 后 , 复制 
Login_ 37 | URL 地 址 ,在 其 他 需要 重新 登录 。 ”| 需要 重新 登录 Pp 
计算 机 上 打开 页 面 
鼠标 移 至 验证 _ 
Login_38 | 单 击 验证 码 图 片 。 “| 码 图 片上 , 单 击 | 图 片 中 显示 新 的 4 | 图 片 中 显示 新 的 4 | 。 P 
pe 位 数字 位 数字 
光标 可 依次 移动 
Login_39 | 按 Tab 键 两 次 和 到 密码 输入 框 和 pe P 
验证 码 输入 框 
在 用 户 名 输入 框 中 | 用 户 名 : BackSpace 键 能 正 
Login_40 按 BackSpace 键 ( 二 ) | wangyang 依次 删除 字符 常 使 用 四 
Lin 41 | 在 文本 输入 框 中 使 机 光标 必须 能 跟踪 | 左右 箭头 能 正常 | 
8 | 用 左右 箭头 pe 到 相应 位 置 使 用 
输入 用 户 名 ,选中 输 Delete 键 能 正 党 
Login-42 | 入 , 按 Delete 刍 能 正常 出 除 使 用 
输入 用 户 名 ,选中 输 
， 入 , 按 Ctrl 十 C 键 ,在 Word 中 可 复制 到 | Word 中 可 复制 到 
Login -43 | Word 中 按 Ctrl 十 | 用 户 名 : wang | 用 户 名 用 户 名 中 
V 键 
输入 密码 后 , 选中 输 
RS 入 , 按 Ctrl 十 C 键 ,在 | 用 户 名 : wang Word 中 不 可 复制 | Word 中 不 可 复制 P 
gm | Word 中 按 Ctrl 十 | 密码 : 123456 ”| 到 密码 到 密码 
V 键 
全 | 用 户 各: wang | 输入 框 以 “@@" 的 | 输入 框 以 < 和 "的 | 
SE 密码 : 123456 ”| 方式 显示 密码 方式 显示 密码 


密码 输入 框 
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续 表 
态 
用 例 编号 操作 输入 数据 预期 结果 实际 结果 es 
”| 在 用 户 名 输入 框 内 光标 必须 能 眼 踪 | 。_ 
Login-46 | 单 击 到 相应 位 置 各 村 获 直下 沉 因 
1 is 1 | 在 用 户 名 输入 框 内 输入 框 内 文本 被 | 输入 框 内 文本 被 | 
”| 双击 选中 选中 
用 户 各 : wang 
, 输入 用 户 名 、 密 码 和 | 密码 : 123456 
Login-48 | 6 证 码 , 按 回 车 键 。 | 验证 码 ; 图 片 中 | 登录 成 功 茹 村 成 功 四 
显示 的 数字 


注 : 设计 测试 用 例 时 ,实际 结果 和 测试 状态 (P/F) 两 项 为 空 ,执行 测试 时 填写 这 两 项 。 


2. 准备 测试 脚本 
在 本 测试 中 ,使 用 Quick Test 进行 测试 。 有 关 Quick Test 的 使 用 方法 请 参考 Quick 


Test 使 用 指南 和 在 线 帮助 。 在 录制 之 前 需要 解决 页 面 中 的 验证 码 给 “录制 一 回放 ” 带 来 的 
问题 。 在 此 采用 “后 门 法 ”, 在 代码 中 设 定 一 个 所 谓 的 “万 能 验证 码 ”。 本 例 中 万 能 验证 码 的 
值 为 1234。 在 安装 目录 中 ,找到 ck. php 文件 ,用 记事 本 打开 ,文件 中 第 17 行 : 


$nmsg = num rand(4); 


将 其 修改 为 : 


$ nmsg = '1234'; 


这 样 验证 码 就 不 是 变化 的 ,而 是 固定 值 1234。 


制 。 


(1) 录制 测试 脚本 
启用 QuickTest 工具 ,在 URL 地 址 栏 输入 博客 网 站 的 地 址 , 单 击 Record 按钮 ,开始 录 
录制 时 生成 的 脚本 如 下 。 


Browser("LxBlog — powered by lxblog.net").Page("LxBlog — powered by lxblog. net"). 
WebEdit("pwtypev"). Set "wang" 

Browser("LxBlog — powered by lxblog.net").Page("LxBlog — powered by lxblog.net"). 
WebEdit("pwpwd"). SetSecure "48829ccf8ebcdcbfd69f4a7146998047c41c" 

Browser("LxBlog — powered by lxblog. net" ). Page("LxBlog — powered by lxblog. net"). WebEdit 
("gdcode"). Set "1234" 

Browser( "LxBlog — powered by lxblog. net"). Page ("LxBlog — powered by lxblog. net"). 
WebButton(" 登 录 ").Click 

Browser("LxBlog — powered by lxblog. net").Page("LxBlog — powered by lxblog. net_2"). Link 
("注销 "). Click 


录制 的 脚本 用 关键 字 方 式 表示 ,其 格式 如 图 9-2 所 示 。 
(2) 增强 脚本 
录制 好 测试 脚本 后 ,需要 增强 脚本 。 
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司 QuickTest Professional - [Testt] 


Enter "wang in the "pwtypeY"edk box 
~ Enter the encrypled password in the "pwpwd" e 


Enter "1234" in the "gdcode” edit box. 

Cick the " 营 录 ”button 

Cick the ' 往 销 " ink 
“0 LBlog- powered by kbilog net Sync ‘Wait for the Web page to synchronize belore co 
胡 bloq.poweted by bbloanet Close EJ 


图 9-2 关键 字 视 图 的 测试 脚本 


对 于 登录 模块 中 的 用 户 名 文本 框 和 密码 文本 框 ,使 用 参数 化 方式 将 前 面 测 试用 例 的 数 
据 导 入 脚本 中 。 另 外 ,对 该 页 面 的 测试 还 要 插入 文本 检查 点 和 图 像 检查 点 。 为 了 使 测试 脚 
本 简洁 ,提高 测试 效率 ,将 对 用 户 名 文本 框 和 密码 文本 框 的 检查 作为 一 个 测试 脚本 ,将 对 页 
面 上 的 文本 和 图 像 的 检查 作为 另 一 个 脚本 。 

用 户 名 文本 框 和 密码 文本 框 参数 化 界面 如 图 9-3 所 示 。 增 强 后 的 测试 脚本 文件 名 为 


login_parameter。 
3. 执行 测试 


分 别 运行 各 测试 脚本 ,获得 测试 结果 。 

进行 参数 化 后 ,运行 脚本 的 次 数 由 用 户 名 和 密码 数据 对 的 个 数 决 定 ,每 执行 一 次 ， 
QuickTest 就 会 在 数据 表 中 读 和 人 对 应 的 一 组 数据 。 在 login_parameter 脚本 中 ,设计 了 30 
组 测试 数据 ,在 执行 login_parameter 脚本 时 ,就 运行 了 30 次。 运行 结 束 后 ,QuickTest 弹 
出 测试 执行 结果 页 面 ,显示 每 次 运行 的 测试 结果 。 由 于 用 户 名 和 密码 有 些 是 不 正确 的 ,因此 
不 能 正常 登录 。 对 于 不 能 正常 登录 的 情况 ,系统 都 将 弹出 提示 页 面 ,QuickTest 在 迭代 (多 
次 ) 执 行 过 程 中 ,将 自动 关闭 弹出 的 提示 页 面 。 

通过 自动 化 测试 ,不 难看 出 自动 化 测试 的 好 处 , 它 可 以 提高 执行 效率 ,并 可 避免 人 工 进 
行 烦琐 数据 输入 操作 ,而 且 可 以 避免 人 为 的 一 些 错误 。 

除了 通过 运行 自动 化 测试 脚本 进行 测试 以 外 ,我 们 还 补充 了 一 些 手 动 测试 ,将 不 易 用 自 
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vB LBlog- powered by kblog net 
7 LBlog- poweredby kblognet 
pwypev 


Set DataTablef Usemame' . dtGlobalSheet) Enter <the value of the Usermame' Data 
‘SetSecue DataTable('Password". dtGlobalSheet] Enter the encrypted password in the "pv 
Set DataTable[ Veriicationcode", dtGlob... Enter <the value of the Verificationcode 
Click RS 


Username Password Verificationcode 
wang 540e5c15e9 1234 
WanG 1234 


图 9-3 登录 模块 参数 化 脚本 


动 化 工具 执行 的 用 例 用 手工 执行 。 手 动 测试 就 是 直接 按照 测试 用 例 的 要 求 ,输入 测试 数据 ， 
观察 运行 的 结果 与 预期 结果 的 异同 ,以 判断 测试 是 否 通过 。 在 这 里 主要 使 用 特殊 值 测试 或 
错误 推测 法 设计 测试 用 例 , 并 执行 测试 ,使 测试 更 完善 。 


4. 测试 结果 
通过 手动 测试 和 自动 化 测试 ,发 现 4 个 轻微 的 缺陷 , 见 表 9-2。 
表 9-2 用 户 登 录 模 块 BUG 列表 


BUG 编号 BUG 描述 用 例 编 号 严重 级 别 
BUG_Login 01 用户 名 不 区 分 大 小 写 Loginl_03 一 般 
BUG_ Login _02 ”用 户 名 错误 ,重新 返回 登录 界面 时 ,用 户 名 Loginl_05,Loginl_12 _ 般 
输入 框 未 清空 

BUG_ Login _03 ”用 户 名 为 空 , 单 击 【 登 录 】 按 钮 ,提示 信息 不 Loginl_14 一 般 
正确 

BUG_ Login _04 ”正确 的 用 户 名 前 面 有 空格 ,不 能 成 功 登录 Login_23 一 般 


(验证 用 户 名 时 ,未 清除 用 户 名 前 面 的 空格 ) 
补充 : 自动 化 测试 中 验证 码 的 解决 方案 
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目前 ,不 少 网 站 在 用 户 登 录 、 用 户 提 交 信 息 等 登录 和 输入 的 页 面 上 使 用 了 验证 码 技术 。 
验证 码 技术 可 以 有 效 防 止 恶意 用 户 对 网 站 的 滥用 ,使 网 站 可 以 有 效 避 免 用 户 信息 失窃 等 问 
题 。 但 与 此 同时 ,验证 码 技术 的 使 用 却 使 Web 自动 化 测试 面临 较 大 的 困难 。 

验证 码 具 有 随机 性 和 不 易 被 自动 工具 识别 的 特点 , 当 用 户 访 问 某 个 使 用 验证 码 的 页 面 
时 ,每 次 对 该 相同 页 面 的 访问 都 会 得 到 一 个 随机 产生 的 不 同 的 验证 码 , 并 且 , 这 些 验 证 码 具 
有 能 够 被 人 工 识别 ,但 很 难 被 自动 工具 识别 的 特点 ,这 样 ,自动 工具 就 很 难 适应 使 用 验证 码 
的 页 面 。 由 于 验证 码 的 存在 ,传统 的 “录制 一 回放 ”工具 由 于 不 能 识别 验证 码 而 失效 。 

从 技术 的 角度 来 看 ,下 面 两 种 方法 可 实现 自动 测试 工具 对 验证 码 的 处 理 。 

(1) 识别 法 

识别 法 完全 从 客户 端 角度 考虑 , 靠 模式 识别 的 方法 识别 出 验证 码 图 片 对 应 的 字符 串 。 
该 方法 适用 于 不 能 获得 和 改变 服务 器 端 代码 的 情况 ,测试 者 只 能 完全 从 客户 端的 角度 想 办 
法 解决 验证 码 的 问题 。 识 别 法 的 核心 是 对 验证 码 图 片 的 模式 识别 算法 ,该 算法 的 可 实现 性 
基本 取决 于 图 片 本 身 的 复杂 程度 。 

(2) 插入 法 

插入 法 是 从 服务 端 考虑 ,如 果 自 动 测试 工具 可 以 获取 Session 中 存储 的 随机 数 ,也 就 能 
正确 处 理 验证 码 了 。 

如 果 可 以 控制 和 修改 服务 端 代 码 ,就 可 以 使 用 服务 端 插入 法 。 该 方法 在 服务 端 提 供 一 
个 可 被 客户 端 使 用 的 接口 ,只 要 客户 端 传递 过 来 自己 的 Session ID, 该 接口 就 返回 此 时 正确 
的 Session ,这 种 方法 就 可 以 很 容易 地 让 自动 化 测试 工具 直接 获取 到 应 该 提交 的 验证 码 内 
容 。 从 测试 的 角度 来 说 ,这 种 方法 就 等 于 是 在 系统 上 增加 了 一 个 测试 接口 ,从 而 提高 了 系统 
的 可 测试 性 。 

另外 ,通过 非 技 术 的 方式 也 能 让 自动 化 测试 在 具有 验证 码 的 系统 上 成 功 应 用 。 下 面 介 
绍 两 种 常用 方法 。 

(1) 屏蔽 法 

屏蔽 法 的 核心 是 在 被 测 系统 中 暂时 屏蔽 验证 功能 。 这 种 方法 最 容易 实现 ,对 测试 结果 
也 不 会 有 太 大 的 影响 。 当 然 ,这 种 方式 去 掉 了 “验证 验证 码 ” 这 个 环节 ,如 果 该 环节 本 身 存 在 
功能 上 的 问题 ,或 是 本 身 就 是 性 能 的 瓶颈 , 那 就 一 定 会 对 测试 结果 造成 影响 了 。 这 种 方法 也 
有 一 个 问题 : 如 果 被 测 系统 是 一 个 实际 已 上 线 的 系统 ,屏蔽 验证 功能 会 对 已 经 在 运行 的 业 
务 造 成 非常 大 的 安全 风险 ,因此 ,对 于 已 上 线 的 系统 来 说 ,用 这 种 方式 就 不 合适 了 。 

(2) 后 门 法 

后 门 法 不 屏蔽 验证 码 , 但 在 其 中 留 一 个 后 门 , 在 代码 中 设 定 一 个 所 谓 的 “万 能 验证 码 ”， 
只 要 用 户 输入 这 个 “万 能 验证 码 ”, 就 能 通过 验证 ,否则 ,还 是 按照 正常 的 验证 方式 进行 验证 。 
这 种 方式 仍然 存在 安全 性 的 问题 ,但 可 以 通过 管理 手段 将 “万 能 验证 码 ” 控 制 在 一 个 小 的 范 
围 内 ,而 且 只 在 测试 期 间 保留 这 个 小 小 的 后 门 ,相对 第 一 种 方法 来 说 ,在 安全 性 方面 有 了 较 
大 的 提高 。 


9.1.2 发 表 日 志 测 试 


发 表 日 志 的 页 面 如 图 9-4 所 示 。 该 页 面 中 包括 当 行 文本 输入 框 \ 多 行文 本 输入 框 、 单 选 
按钮 、 复 选 框 下 拉 列 表 框 ,文本 编辑 工具 、 认 证 码 和 提交 按钮 等 。 发 表 日 志 就 是 用 户 填写 日 
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志 的 内 容 , 然 后 提交 到 服务 器 中 。 其 实 ,这 是 一 个 典型 的 提交 表单 的 操作 ,因此 可 以 按照 表 
单 的 测试 方法 来 设计 测试 用 例 。 


日 标题 


情思 c 圈 c 因 c 因 c 上 四 c 四 < 个 ec 天 

天 气 9 兴 日 人 6 加 Cm oo ey @ 无 

三 使 用 签名 隔 自动 分 析 url 

注 通过 月 插入 裁 断 点 截断 文章 ， 堆 断后 将 在 日 志 列 表 页 显示 蕉 断 点 之 前 的 内 容 ， 否 则 全 文 显示 


ems J 4 [Rae J Windcode 上 [所 见 即 所 得 
BZIaclxax| 包 X 卫 219wl| 直 国 一 了 
天 天 洗 酝 | 划 短 | 注 注 六 各 | 中 续 | 至 @ 四 双 月 
附件 描述 : 附件 : 浏览 
认证 码 : E23 
提 葡 。 


图 9-4 发 表 日 志 界面 


发 表 日 志 的 页 面 需要 用 户 填写 日 志 的 相关 内 容 , 并 单 击 【提交 按钮 来 提交 日 志 内 容 。 
在 该 页 面 中 重点 是 填写 表单 和 表单 的 提交 ,因此 重点 对 表单 进行 测试 。 表 单 的 测试 包括 单 
选 按 钮 、 复 选 框 .文本 框 、 密 码 项 、 菜 单项 工具 条 ,按钮 等 的 测试 和 后 台数 据 库 的 测试 。 下 面 
针对 该 页 面 的 特点 设计 测试 用 例 。 


1. 测试 用 例 设计 


根据 页 面 中 的 各 组 件 的 特点 ,选择 合适 的 测试 方法 和 测试 策略 ,分 别 设计 测试 用 例 。 

(1) 文本 框 

对 文本 框 进行 测试 ,可 以 从 下 面 几 个 方面 考虑 。 

@ 文本 框 是 否 对 输入 的 字符 数 有 特别 限定 , 若 与 特别 限定 条 件 不 符 , 是 否 会 给 出 提示 ; 

@ 文本 框 中 输入 的 字符 是 否 可 以 为 数字 、 汉 字 、 英 文字 符 和 特殊 字符 ,中 间 是 否 可 以 有 
空格 、 标 点 符号 等 ; 
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@ 文本 框 中 是 否 能 正常 使 用 功能 键 和 快捷 键 。 
下 面 为 日 志 标 题 文本 框 设计 测试 用 例 , 见 表 9-3。 


表 9-3 日 志 标 题 文 本 框 测试 用 例 


项 目 名 称 | 发 表 日 志 模块 测试 项 目 编号 Post_ log_1 
模块 名 称 | 发 表 日 志 开发 人 员 Liu yang 
测试 类 型 | 功能 测试 参考 信息 需求 规格 说 明 书 、 设 计 说 明 书 
优先 级 | 中 用 例 作者 Wang 设计 日 期 2014. 6. 10 
测试 方法 | 手工 ( 黑 盒 测 试 7 测试 人 员 Lan 测试 日 期 2014. 6. 20 
测试 对 象 | 日 志 标题 文本 框 
用 户 正常 登录 ,对 于 下 面 各 测试 用 例 ,在 文章 内 容 栏 内 填写 “日 志 标题 文体 框 测 试 ”, 验 证 码 
前 置 条 件 
填写 正确 
二 
用 例 编号 “| 输入 数据 /操作 预期 结果 实际 结果 ee 
日 志 标 题 为 : 今天 是 个 好 | 提交 日 志 后 ,日 志 标 题 为 : 
Post_log_1_01| 今 天 是 个 好 日 子 日 子 今天 是 个 好 日 子 P 
Post_log_1_02| Beautiful Day 日 志 标 题 为 : Beautiful Day 提交 h 志 后 ,日 志 标 题 为， P 
Beautiful Day 
提交 日 志 后 ,日 志 标 题 
志 : 
Post_log_1_03| 1234567 日 志 标 题 为 : 1234567 为 ,1234567 P 
二 要 提交 日 志 后 ,日 志 标题 为 : 
Post_log_1_04| Lady% ¥ 日 志 标题 为 : Lady% 竺 …… Lady% ¥ P 
Post_log_1_05| Beautiful Day! 日 志 标 题 为 : Beautiful Day! 提交 志 后 ,日 志 标题 为， P 
Beautiful Day! 
Post_log_1_06| Beautiful Day 日 志 标 题 为 : Beautiful Day 提交 有 志 后 ,日 志 标题 为， P 
Beautiful Day 
a 日 志 标 题 为 : Beautiful | 提交 上 志 后 ,日 志 标题 为 : 了 
十 Day Beautiful+ Day 
2 人 提示 : 文章 标题 为 空 或 太 
Post_log_1_08| 空格 提示 : 文章 标题 为 空 长 ,请 控制 在 100 字 节 以 内 F 
志 标 
Post_log_1_09| \n 日 志 标题 为 : \n Wi 和 在 糙 是 为 0 这 
Post_log_1_10| 空 提示 : 标题 不 能 为 空 提示 : 标题 不 能 为 空 P 
Post_log_1_11| 开 日 志 标题 为 : K 提交 日 志 后 ,日 志 标题 为 : K 到 
日 志 标题 为 输入 的 99 个 英 | 提交 日 志 后 ,日 志 标题 为 输 
Post_log_1_12| 99 个 英文 字母 文字 母 入 的 99 个 英文 字母 P 
日 志 标题 为 输入 的 100 个 英 | 提交 日 志 后 ,日 志 标 题 为 输 
Post_log_1_13| 100 个 英文 字母 文字 母 人 的 100 个 英文 字母 Pp 
提示 : 标题 超过 最 大 长 | 提交 日 志 后 ,提示 : 标题 超 
Post_log_1_14| 101 个 英文 字母 度 100B 过 最 大 长 度 100B P 


第 9 章 ”博客 系统 测试 


续 表 
太 
用 例 编号 | 输入 数据 /操作 预期 结果 实际 结果 eT 
提示 : 标题 超过 最 大 长 | 提交 日 志 后 ,提示 : 标题 超 
Post_log_1_15| 102 个 汉字 度 100B 过 最 大 长 度 100B 
Post_log_1_16|name' OR 'a' 一 'a 有志 标题 为 Ame OR 目 志 标题 海 ; ime OF P 
a 二 a 二 
Post log 1 17 es 日 志 标 题 为 : 一 script>alert | 日 志 标题 为 : 二 script>alert P 
人 CPWND) </script> CPWND') </script> 

=</script> 

鼠标 在 文本 框 中 , | 切换 到 心情 单 选 按钮 的 默认 
Pomonael i Tb 人 |gme Tab 键 功能 正常 Pp 
Post_log_1_19 在 文本 框 中 使 用 Delete 键 功能 正常 Delete 键 功能 正常 P 

Delete 键 

在 文本 框 中 使 用 
Post_log_1_20 CulHC 刍 能 拷贝 文本 框 中 选中 的 内 容 | 拷贝 功能 正常 P 

在 文本 框 中 使 用 | 能 将 拷贝 的 内 容 复制 到 文本 
Post_log_1_21 Ctrl 十 V 键 框 中 粘贴 功能 正常 政 
Post_log_1_22| 在 文本 框 中 单 击 “| 光标 移动 到 单 击 位 置 鼠标 功能 正常 P 
Post_log_1_23| 在 文本 框 中 双击 “| 文本 框 中 的 内 容 被 选中 鼠标 功能 正常 P 
Post_log_1_24 在 区 本 天 合力 夺 | 标 随 着 第 头 向 左 移动 。 | 左 箭 头 功能 正 党 P 
Post_log_1_25 夸 区 丰 民 使 用 有 | 光标 随 着 和 头 向 右 移动 | 右 第 头 功能 正常 Pp 


在 发 表 日 志 模块 中 还 有 其 他 文本 框 , 如 文章 文本 框 ,其 测试 用 例 设 计 方法 雷同 ,在 此 不 


再 袭 述 。 


(2) 单 选 按钮 
为 单 选 按钮 设计 测试 用 例 可 以 从 下 列 几 方面 考虑 。 
QO@ 逐一 执行 每 个 单 选 按钮 的 功能 。 

@ 一 组 单 选 按钮 不 能 同时 选中 ,只 能 选中 一 个 。 
@) 一 组 执行 同一 功能 的 单 选 按钮 在 初始 状态 时 必须 有 一 个 被 默认 选中 ,不 能 同时 


为 空 


@ 单 选 按钮 上 功能 键 和 快捷 键 是 否 正常 。 


心情 单 选 按钮 如 图 9-5 所 示 。 下 面 为 其 设计 测试 用 例 , 见 表 9-4。 
心情 CO 加 c 较 rc 因 c 园 c 自 -四 -全 cf 


图 9-5 心情 单 选 按钮 
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表 9-4 心情 单 选 按钮 测试 用 例 


需 目 名 称 | 发 表 日 志 模 次 测试 项 目 编号 Ponte 
模块 名 称 发 表 日 志 开发 人 员 Liu yang 
测试 类 型 | 功能 测试 参考 信息 需求 规格 说 明 书 .设计 说 明 书 
优先 级 中 用 例 作 者 Wang 设计 日 期 2014. 6.11 
测试 方法 ”| 手工 ( 黑 例 测 试 ) 测试 人 员 en 测试 日期 ”| 2014. 6.20 
测试 对 象 “| 心情 单 选 按 包 
削 和 条 件 | 用户 正常 下 录 ,对 于 下 而 各 调试 用 例 ,在 日 志 奈 是 和 任意 写 6~10 个 字符 (可 以 是 汉字 )， 
在 文章 内 容 栏 填写 "心情 单 选 按钮 测试 "验证 码 填写 正确 
i 
用 例 编号 | ”输入 数据 /操作 ”| 预期 结果 实际 结果 ee 
ee 第 一 个 单 和 所 被 和 中 ， 
Post_log_2_01 | 选择 第 一 个 单 选 按钮 | 、 提交 日 志 后 ,在 日 志 的 标题 前 
钮 被 选中 
出 现 留 
入 一 个 第 渤 按 | 第 二 个 间接 组 被 和 中 ， 
Post_log_2_02 | 选择 第 二 个 单 选 按钮 | 第 一 提交 日 志 后 ,在 日 志 的 标题 前 
钮 被 选中 
出 现 蒋 
”| 第 三 不 单 选 按钮 被 选中 ， 
Post_log_2_03 | 选择 第 三 个 单 选 按钮 | 第 三 个 单 选 按 | 提交 日 志 后 ,在 日 志 的 标题 前 
钮 被 选中 
出 现 国 
| 第 四 不 单 选 按钮 被 选中 
Post_log_2_04 | 选择 第 四 个 单 选 按钮 | 第 四 个 单 选 按 | 提交 日 志 后 ,在 日 志 的 标题 前 
钮 被 选中 人 
出 现 例 
二 人员 二 让 | 第 下 单 选 拉 被 和 中 ， 
Post_log_2_05 | 选择 第 五 个 单 选 按钮 | 第 五 个 单 选 按 | 提交 日 志 后 ,在 日 志 的 标题 前 
钮 被 选中 
出 现 侣 
第 六 个 单 选 按钮 被 选中 
ce 
Post_log_2_06 | 选择 第 六 个 单 选 按钮 | 第 六 个 单 选 按 | 提交 日 志 后 ,在 日 志 的 标题 前 
钮 被 选中 
出 现 欧 
第 七 不 单 选 按钮 被 选中 ， 
ee 
Post_log_2_07 | 选择 第 七 个 单 选 按钮 | 第 七 个 单 选 按 | 提交 日 志 后 ,在 日 志 的 标题 前 
钮 被 选中 
出 现 侣 
第 八 不 单 选 按钮 被 选中 ， 
人 个 关 
Post_log_2_08 | 选择 第 八 个 单 选 按钮 en 提交 日 志 后 ,在 日 志 的 标题 前 
无 心情 图 标 
选择 第 一 个 音 交 二 个 单 选 按钮 被 选中 ， 
选择 第 一 个 单 选 按 | 第 一 个 单 选 按 | 第 二 个 单 
Post_iog_2_09 | 包 , 然 后 选择 第 二 个 | 多 二 二 提交 日 志 后 ,在 日 志 的 标题 前 
单 选 按钮 出 现 更 
于 不 二 让 
到 其 第 一 不 站 迹 拉 | 人 中 上 从 | 第 二 在 还 区 而 中 
Post log_2_10 | 钮 ,然后 选择 第 五 个 | 多 让 让 提交 日 志 后 ,在 日 志 的 标题 前 


单 选 按钮 


出 现价 
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续 表 
i 
用 例 编号 “| ”输入 数据 /操作 ”| 预期 结果 实际 结果 ye 
- 缺 省 情况 下 ,第 | 第 八 个 单 选 按钮 被 选中 ， PC 初始 状态 
Post_log_2.11 ee 八 个 单 选 按钮 | 提交 日 志 后 ,在 日 志 的 标题 前 | 时 , 默认 项 
被 选中 无 心情 图 标 被 选中 ) 
bow jo 2 12 | 选择 第 一 个 单 选 接 | 第 三 个 单 和 a ea P( 右 移 键 功 
"一 “| 钮 , 按 右 移 箭头 两 次 | 钮 被 选中 Ee 能 正常 ) 
出 现 国 
第 二 个 单 选 按钮 被 选中 ， 
选择 第 五 个 单 选 按 | 第 二 个 单 选 按 ;| P( 左 移 键 功 
提交 日 志 后 ,在 日 志 的 标题 
Post-log-2-13 | 钮 , 按 左 移 箭头 三 次 | 钮 被 选中 有 家 遇 村 记 鸭 扣 是 村 者 证 关 
出 现 准 
第 一 个 单 选 按钮 被 选中 ， 
Post log 2 14 | 选择 第 八 个 单 选 按 | 第 一 个 单 选 按 | 提交 日 志 后 ,在 日 志 的 标题 前 | PC 右 秘 键 功 
-10g-2-14 | 钮 , 按 右 移 箭头 一 次 | 钮 被 选中 能 正常 ) 
出 现 久 
第 八 个 单 选 按钮 被 选中 
pose jos 2 15 | 选择 第 一 个 单 选 接 | 第 人 个 单 先 按 | 提 父 日 志 后 ,证 日 志 的 丰 大 前 | P( 左 物 甸 功 
-0g-2-15 | 钮 , 按 左 移 箭头 一 次 | 钮 被 选中 能 正常 ) 
无 心情 图 标 
第 三 个 单 选 按钮 被 选中 
post_log_2_16 | 选择 第 一 个 单 选 按 | 第 三 个 单 选 按 | 提交 日 志 后 ,在 日 志 的 标题 前 | 了 (下 移 键 功 
-0g-2-16 | 钮 , 按 下 移 箭头 两 次 | 钮 被 选中 能 正常 ) 
出 现 国 
第 七 个 单 选 按钮 被 选中 
osufonpuiy| 生生 第 一 个 生计 交 | 党 蕊 个 生 迁 玫 提交 日 志 后 ,在 日 志 的 标题 前 | (上 移 链 功 
-0g-2-17 | 钮 , 按 上 移 箭头 两 次 | 钮 被 选中 能 正常 ) 
出 现 顽 
迹 反 第 一 个 音 计 按 | 各 一 仆 只 过 让 | 第 = 个 单 渤 按 包 补 选中 ,提交 
Post_log_2_18 | 钮 ,过 一 段 时 间 再 先 人 省 日 志 后 ,在 日 志 的 标题 前 出 | P 
择 第 二 个 单 选 按钮 现 较 
(3) 复 选 框 


对 复 选 框 的 测试 可 以 从 下 列 几 方面 进行 考虑 。 


@ 多 个 复 选 框 可 以 被 同时 选中 ; 
@ 多 个 复 选 框 可 以 被 部 分 选中 ; 
@ 多 个 复 选 框 可 以 都 不 被 选中 ; 
@ 逐一 执行 每 个 复 选 框 的 功能 。 
下 面 对 发 表 日 志 页 面 中 的 复 选 框 设计 测试 用 例 , 见 表 9-5 。 
(4) 列表 框 
列表 框 控件 的 测试 可 以 考虑 下 列 几 个 方面 。 
@ 条 目 内 容 正确 ,根据 需求 规格 说 明 书 确定 列表 的 各 项 内 容 正确 ,没有 丢失 或 错误 ; 
@ 列表 框 的 内 容 较 多 时 要 使 用 滚动 条 ; 
@ 列表 框 允许 多 选 时 ,要 分 别 检查 按 Shift 键 选中 条 目 , 按 Ctrl 键 选中 条 目 和 直接 用 鼠 
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标 选 中 多 项 条 目的 情况 。 
表 9-5 复 选 框 测试 用 例 
项 目 名 称 ”| 发 表 日 志 模 块 测试 项 目 编号 Post_log_3 
模块 名 称 发 表 日 志 开发 人 员 Liu yang 
测试 类 型 ”| 功能 测试 参考 信息 需求 规格 说 明 书 ,设计 说 明 书 
优先 级 中 用 例 作者 Wang 设计 日 期 2014. 6. 11 
测试 方法 “| 手工 ( 黑 盒 测 试 ) 测试 人 员 Lan 测试 日 期 2014. 6. 20 
测试 对 象 “| 使 用 HTML 代码 、 使 用 签名 和 自动 分 析 URL 复 选 框 
前 置 条 件 用 户 正常 登录 ,对 于 下 面 各 测试 用 例 , 在 日 志 标题 栏 任意 写 6 一 10 个 字符 (可 以 是 汉字 )， 
在 文章 内 容 栏 填写 “ 复 选 框 测试 ”, 验 证 码 填写 正确 
用 例 编号 输入 数据 /操作 预期 结果 实际 结果 轴 状 态 


(P/F) 


Post_log_3_01 


只 选择 “使 用 HTML 
代码 ” 


“使 用 HTML 代码 ” 复 选 
框 被 选中 


“使 用 HTML 代码 ” 复 
选 框 被 选中 


了 


Post_log_3.02 | 只 选择 “使 用 签名 ” 。 | "使 用 签名 " 复 选 被 选中 | ee 和 | p 
Post_log_3_03 | 只 选择 < 自动 分 析 URL” i eat ee 
rr rr a 
Post_log_3_05 ee 两 个 复 选 框 都 被 选中 。 | 两 个 复 先 框 都 被 选中 | P 
Pol jog S06 iS 两 个 复 选 框 都 被 选中 。 | 两 个 复 先 框 者 被 选中 | P 
Post_log_3_07 | 三 个 复 进 框 都 不 渤 ”| 没有 复 选 杠 被 选中 没有 复 选 框 被 选中 Pp 


发 表 日 志 页 面 中 有 多 个 列表 框 ,下面 以 系统 分 类 列表 框 为 例 进行 测试 。 系 统 分 类 列表 
框 中 有 10 项 条 目 . 且 不 允许 多 选 。 为 系统 分 类 列表 框 设计 测试 用 例 , 见 表 9-6。 


表 9-6 系统 分 类 列表 框 测试 用 例 


项 目 名 称 发 表 日 志 模 块 测试 项 目 编号 Post_log_4 

模块 名 称 发 表 日 志 开发 人 员 Liu yang 

测试 类 型 功能 测试 参考 信息 需求 规格 说 明 书 ,设计 说 明 书 

优先 级 中 用 例 作者 Wang 设计 日 期 2014. 6. 11 

测试 方法 手工 ( 黑 盒 测 试 ) 测试 人 员 Lan 测试 日 期 2014. 6. 20 

测试 对 象 系统 分 类 列表 框 

前 置 条 件 用 户 正 常 登录 ,对 于 下 面 各 测试 用 例 , 在 日 志 标题 栏 填写 “Web 测试 ”, 在 文章 内 容 栏 填写 
“系统 分 类 列表 框 测试 ”验证 码 填写 正确 


续 表 
用 例 编号 输入 数据 /操作 预期 结果 实际 结果 有 
Post_log_4_ 01 et deter 列表 中 有 10 个 条 目 0 Pp 
Post_log_4_02 | 选择 条 目 1: 技术 讨论 | “技术 讨论 "被 选中 de P 
Post_log_4_03 | 选择 条 目 2: 生活 人 生 | “生活 人 生 ” 被 选中 te P 
Post_log_4_04 | 选择 条 目 3: 经 济 大 观 | “经 济 大 观 "被 选中 2 P 
Post_log_4_05 | 选择 条 目 4: 时 尚 动态 | “时 尚 动态 "被 选中 et P 
Post_log_4_06 | 选择 条 目 5: 舞文弄墨 | “舞文弄墨 "被 选中 ta P 
Post_log_4_07 | 选择 条 目 6: 情感 天 地 | “情感 天 地 ”被 选中 ed P 
Post_log_4_08 | 选择 条 目 7: 原创 文学 | “原创 文学 "被 选 中 pt P 
Post_log_4_09 | 选择 条 目 8: 体育 竞技 | “体育 竞技 "被 选中 tie P 
Post_log_4_10 | 选择 条 目 9: 旅游 杂记 | “旅游 杂记 ”被 选中 ee P 
Post_log_4_11 | 选择 条 目 10: 随想 杂谈 | “随想 杂谈 "被 选中 2 P 
post_ log_4_12 | 不 对 系统 分 类 列表 框 做 | 默认 选中 条 目 1, 即 “ 技 | 提交 日 志 后 ,日 志 的 系统 | 
任何 操作 术 讨 论 "被 选中 分 类 为 技术 讨论 
Post_log_4_13 | 在 列表 框 中 单 击 列表 框 被 打开 ga ss P 
Post_log_4_14 | 单 击 列表 框 的 向 下 按钮 | 列表 框 被 打开 ee P 
Post_log_4_15 | 双击 列表 框 Ra ats 


关闭 


条 目 , 同 时 列表 框 又 关闭 


(5) 文本 编辑 工具 条 和 文本 格式 工具 条 


在 发 表 日 志 页 面 的 文章 编辑 中 ,提供 了 文本 编辑 的 常用 工具 条 和 文本 格式 工具 条 ,可 根 
据 各 工具 项 的 功能 和 特点 进行 测试 。 

例如 右 对 齐 , 可 以 先 输入 文本 ,然后 单 击 右 对 齐 按钮 ,检查 文本 是 否 右 对 齐 ; 也 可 先 单 
击 右 对 齐 按钮 ,检查 光标 是 否 移 到 最 右边 ; 也 可 选中 文本 ,然后 单 击 右 对 齐 按钮 ,检查 文本 


是 否 右 对 齐 。 其 他 工具 条 的 功能 测试 不 再 袭 述 。 
(6) 添加 附件 


在 发 表 日 志 时 可 以 上 传 附件 。 上 传 附 件 包括 附件 描述 文本 框 、 附 件 路 径 文 本 框 和 文件 
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浏览 按钮 。 附 件 描述 文本 框 的 测试 方法 与 日 志 标题 文本 框 的 测试 方法 雷同 。 对 于 附件 内 容 


的 测试 可 以 从 下 面 几 个 方面 考虑 。 


中 添加 附件 时 能 否 打 开本 地 磁盘 上 的 所 有 文件 夹 ,能 否 选择 符合 条 件 的 文件 。 

@ 路 径 是 否 可 以 手工 输入 ,手工 输入 时 有 没有 长 度 限 制 。 手 动 输入 一 个 不 存在 的 文件 
地 址 ,是 否 有 提示 。 

@ 输入 要 上 传 的 文件 名 ,但 未 选择 文件 , 单 击 【 提 交 】 按 钮 ,是 否 给 出 提示 。 连 续 多 次 选 


择 不 同文 件 ,检查 系统 是 否 上 传 最 后 选择 的 文件 。 


@ 文件 大 小 是 否 有 限制 。 如 果 上 传 文件 超过 最 大 值 ,是 在 提交 前 校 验 还 是 提交 后 校 
验 。 能 否 上 传 空 文件 , 即 0B 大 小 的 文件 。 
@@ 文件 格式 是 否 有 限制 ,支持 哪些 格式 。 下 面 是 一 些 常 见 的 文件 格式 。 
图 片 : gif\jpg、bmp、psd、png 等 
文档 ; txt、doc、docx、pdf、xls、xlsx、ppt、pptx 等 


多 媒体 : mp3、wma、mp4 、mid ,avi、rmvb、rm 等 


压缩 包 : 


zip、rar,iso 等 


安装 文件 : exe/msi 等 

@ 上 传 文件 是 否 支 持 中 文 名 称 ,如 果 不 支持 中 文 名 称 , 页 面 上 应 给 出 相应 提示 。 

@ 文件 名 称 的 最 大 值 最 小 值 .特殊 字符 (包含 空格 ) 、 使 用 程序 语句 等 ,是 否 会 对 页 面 
造成 影响 ,中 文 名 称 是 否 能 正常 显示 。 

@ 选择 多 文件 时 ,是 否 能 正常 上 传 。 

加 确保 上 传 的 文件 能 够 正常 打开 ,上 传 的 图 片 能 正常 显示 。 

添加 附件 的 测试 用 例如 表 9-7 所 示 。 


表 9-7 添加 附件 测试 用 例 


项 目 名 称 发 表 日 志 模 块 测试 项 目 编号 Post_log_5 
模块 名 称 发 表 日 志 开发 人 员 Liu yang 
测试 类 型 功能 测试 参考 信息 需求 规格 说 明 书 ,设计 说 明 书 
优先 级 中 用 例 作者 Wang 设计 日 期 2014. 6.11 
测试 方法 手工 ( 黑 盒 测试 ) 测试 人 员 Lan 测试 日 期 2014. 6. 20 
测试 对 象 “| 添加 附件 
前 置 条 件 用 户 正 常 登录 ,对 于 下 面 各 测试 用 例 , 在 日 志 标 题 栏 填写 “Web 测试 ”, 在 文章 内 容 栏 填写 
“添加 附件 功能 测试 ”, 验 证 码 填写 正确 
用 例 编号 操作 输入 数据 期 望 结果 实际 结果 a 
打开 本 地 磁盘 上 | 打开 本 地 磁盘 上 
的 所 有 文件 夹 ，| 的 文件 夹 , 并 能 
pe 并 能 选择 符合 条 | 选择 符合 条 件 的 | 
件 的 文件 文件 
提示 : 附件 只 能 = 
提示 : 附件 类 型 
单 击 【浏览 ] 按 钮 , 选 是 rar、zip、jpg 全 
Post_log_5_02 择 桌 面 上 的 文件 文件 : test. xls 等 格式 ,同时 清 ee F 
空 附件 框 的 内 容 


第 9 章 ”博客 系统 测试 


续 表 
太 
用 例 编号 操作 输入 数据 期 望 结果 实际 结果 [人 
提示 : 附件 只 能 | 
提示 : 附件 类 型 
单 击 【 浏 览 ] 按 钮 , 选 是 rar、zip、jpg 等 i 
Post_log_5_03 择 桌 面 上 的 文件 文件 : test. doc 格式 ,同时 清空 附 ed F 
件 框 的 内 容 
asiag 5_04 | 音 击 [浏览 按 角 , 添 | 文件 : 20115 。 | 加 和 各 加 | 提示 : 附件 超过 | 
加 照片 .jpg(1. 64MB) ( 即 100KB) 指定 大 小 102 400B 
单 击 [ 浏 览 ] 按 钮 , 选 | 文 作成 绩 Lu 附件 上 传 成 功 ， 
Post_log_5_05 | 择 D 盘 上 的 文件 ,| 2 人 kp" | 附件 上 传 成 功 。 | 并 能 在 日 志 中 看 | P 
单 击 [提交 ] 按 钮 到 此 文件 
在 附件 输入 框 中 输 | 文件 ,test zip 附件 上 传 成 功 ， 
Post_log_5 06 | 入 文件 路 径 C: \ | 在 C 盘 根 目 录 | 附件 上 传 成 功 | 并 能 在 日 志 中 看 | P 
test. zip 下 ,大 小 为 15KB 到 此 文件 
单 击 [浏览 ] 按 钮 ,分 | 文件 1: test. 
Post_log_5_.07 | 别 选择 C 盘 和 了 盘 | (15KB) 2 附件 上 传 成 功 p 
?8 8 "| 上 的 文件 , 单 击 K 提 | 文件 2: 成 绩 到 这 两 水 文 逢 
交 】 按 钮 .rar(16KB) 
单 击 [浏览 ] 按 包 , 分 | 东信 1 和 避 六 附件 上 传 成 功 ， 
Post_log_5_08 | 别 选择 两 个 文件 , 单 | 冯 " 2 2 大 | 附 件 上 传 成 功 。 | 并 能 在 日 志 中 看 | P 
击 [ 提 交 ] 按 钮 Se 到 这 两 个 文件 
.rar(16KB) 
单 击 [浏览 按钮, 依 | 交 下 为 xp 或者 附件 上 传 成 功 ， 
Post_log_5_09 | 次 选择 10 个 文件 ， OL 以 内 的 附件 上 传 成 功 并 能 在 日 志 中 看 P 
单 击 [提交 J 按钮 。 | 1 多 到 这 10 个 文件 
AI 10 | 打开 日 志 管 理 ,查看 附件 能 正常 保存 | 附件 能 正常 保存 | 
st-log_5-10 | 上 传 的 附件 在 本 地 ,并 能 打开 | 在 本 地 ,并 能 打开 
(7) 发 布 日 志 测试 


在 测试 中 ,应 遵循 由 简 人 繁 的 原则 ,先进 行 单 个 控件 功能 的 测试 ,确保 实现 无 误 后 ,再 进 
行 多 个 控件 的 功能 组 合 测试 。 在 此 部 分 中 ,重点 测试 日 志 发 布 功能 是 否 正确 。 


下 面 对 发 表 日 志 页 面 进 行 组 合 测试 ,设计 的 测试 用 例 见 表 9-8。 


表 9-8 发 表 日 志 测 试用 例 


项 目 名 称 ”| 发 表 日 志 模 块 测试 项 目 编号 Post_log_06 

开发 人 员 xx 模块 名 称 发 表 日 志 

用 例 作者 | Wang 参考 信息 需求 规格 说 明 书 ,设计 说 明 书 

测试 类 型 ”| 功能 测试 用 例 作者 Wang 设计 日 期 2014. 6. 11 
测试 方法 “| 手工 ( 黑 盒 测 试 ) 测试 人 员 Lan 测试 日 期 2014. 6. 20 
测试 对 象 “| 发 表 日 志 页 面 中 各 控件 的 组 合 测试 

前 置 条 件 | 用 户 正 常 登录 ,进入 发 表 日 志 页 面 
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续 表 
状态 
用 例 编号 输入 数据 /操作 预期 结果 实际 结果 ee 
powe 1a 06 01 | 直接 音 币 [提交 ] 按 乌 , 或 按 Enter | 提示 ， 标题 不 能 | 提示， 标题 不 能 | 
| 为 空 为 空 
日 志 标 题 ; 美好 生活 ; 单 击 [ 提 | 提示 : 文章 内 容 少 | 提示 :文章 内 容 少 
Post_log_06_02 交 ] 按 钮 于 3B 于 3B 了 
Post_log_06_03 | 睛 去 标 & [区 作弄 这， 文 这 内 | 提示 : 验证 码 错误 | 提示 : 验证 码 错误 | 。 了 
_ 提示 : 完成 相应 操 | 提示 : 完成 相应 操 
愉 志 标识: 部 好 志和 验证 码 ,| 作 , 并 自动 跑 转 到 | 作 , 并 自动 跑 转 到 
Post_log_06_04 | 与 图 片 中 显示 的 数字 一 致 ， 且 才 入 加 多 训 至 浊 交 入 于 刘 加 ;本 | 六 
总 引信 让 是 共 的 数 证 训 误 注 ， | 示 的 日 志 标题 、 系 | 示 的 日 志 标题 、 系 
人 统 分 类 .发 布 日 期 | 统 分 类 ,发 布 日 其 
等 信息 正确 等 信息 正确 
th 提示 : 完成 相应 操 | 提示 : 完成 相应 操 
Re 作 ,并 自动 跳 转 到 | 作 ,并 自动 跳 转 到 
Post_log_06_05 | 附件 : 实验 . rar(65KB); A EE 了 
捍 体 实验 or(65KB2 芭 数字 | 示 的 日 志 标题 、 系 | 示 的 日 志 标题 、 系 
字 一 | 统 分 类 、 发 布 日 期 | 统 分 类 ,发 布 日 其 
致 其 他 控件 的 内 容 采 用 默认 值 ;| 先 全 全 入 号 
单 击 [ 提 交 3 按钮 
日 志 标题 风景 ; 
文章 内 容 : 九寨 风光 ， 
附件 描述 : 图 片 ， 提示 : 附件 超过 指 | 提示 : 附件 超过 指 


Post_log_06_06 


附件 : 照片 . rar(312KB); 
验证 码 : 与 图 片 中 显示 的 数字 一 
致 ; 其 他 控件 的 内 容 采用 默认 值 ; 


定 大 小 102 400B 


定 大 小 102 400B 


单 击 【提交 按钮 
日 志 标题 : 游记 ; 
文章 内 容 : 西藏 风情 ; 提示 : 完成 相应 操 | 提示 : 完成 相应 操 
附件 描述 : 文章 ; 作 , 并 自动 跳 转 到 | 作 , 并 自动 跳 转 到 
boat let 507 附件 : 杂记 . rar(32KB); 日 志 管理 页 面 , 显 | 日 志 管 理 页 面 , 显 Pp 
人 系统 分 类 : 旅游 杂记 ; 示 的 日 志 标 题 、 系 | 示 的 日 志 标题 、 系 
认证 码 : 与 图 片 中 显示 的 数字 一 | 统 分 类 发布 日 期 | 统 分 类 、 发 布 日 期 
致 ; 其 他 控件 的 内 容 采 用 默认 值 ; | 等 信息 正确 等 信息 正确 
单 击 【 提 交 ] 按 钮 
光标 从 上 到 下 、 从 | 光标 依次 在 各 控件 
Post_log_06_08 | 按 Tab 键 18 次 左 到 右 , 依 次 在 各 | 中 移动 ,最 后 停 在 r 
控件 中 移动 【提交 3 按钮 上 
在 多 行文 本 编辑 框 
中 , Enter 键 为 换 
Post_log_06_09 | 检查 Enter 键 的 功能 行 , 其 他 情况 下 | Enter 键 功能 正常 | 
Enter 键 等 效 于 单 
击 【 提 交 ] 按 钮 
发 表 日 志 页 面 时 有 
发 表 日 志 页 面 显 示 | 时 没有 认证 码 标 
Post_log_06_10 | 打开 发 表 日 志 页 面 正常 签 .认证 码 输入 杠 F 
和 认证 码 图 片 


注 : 由 于 各 控件 组 合 的 情况 太 多 ,限于 篇 幅 , 在 此 只 列 出 其 中 一 部 分 测试 用 例 。 


(8) 后 台数 据 库 的 测试 
以 管理 员 的 身份 进入 后 台数 据 库 , 检 查 所 提交 的 日 志 是 否 与 数据 库 中 的 数据 一 致 。 


2. 执行 测试 
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发 表 日 志 模 块 的 测试 采用 手动 测试 和 自动 化 测试 相 结合 的 方式 。 对 单个 组 件 的 测试 采 
用 手动 测试 ,对 发 表 日 志 页 面 中 的 各 组 件 进行 组 合 测试 时 ,采用 自动 化 测试 方法 。 手 动 测试 
时 按 要 求 依次 执行 各 测试 用 例 ,并 记录 测试 结果 。 采 用 自动 化 方法 测试 时 ,首先 需要 录制 脚 
本 ,然后 采用 参数 化 和 插入 检查 点 的 方法 增强 脚本 ,随后 执行 测试 脚本 ,分 析 测试 结果 。 


3. 测试 结果 分 析 
执行 发 表 日 志 模 块 的 各 测试 用 例 后 ,发 现 4 个 缺陷 ,如 表 9-9 所 示 。 


表 9-9 发 表 日 志 模 块 Bug 列表 


Bug 编号 Bug 描述 用 例 编号 严重 级 别 

输入 标题 为 空格 时 ,提示 “文章 标题 为 空 或 

BUG_PostLog_01 | 太 长 ,请 控制 在 100 字 节 以 内 ”, 提 示 信 息 不 | Post_log_1_08 一 般 
准确 
上 传 文件 时 ,选中 text. xls 文件 ,提示 “附件 

BUG_PostLog_02 类 型 不 匹配 *。 未 清空 附件 框 的 内 容 Post_log_5_02 一 般 
上 传 文件 时 ,选中 test. doc 文件 ,提示 “附件 

BUG_PostLog_03 类 型 不 匹配 ”。 未 清空 附件 框 的 内 容 Post_log_5_03 一 般 
打开 发 表 日 志 页 面 ,发 表 日 志 页 面 时 有 时 没 

BUG_PostLog_04 有 验证 码 标签 .验证 码 输入 框 和 验证 码 图 片 Post_log_06_10 一 般 
发 表 日 志 时 ,只 人 允许 附件 大 小 在 102 400B 

BUG_PostLog_05 | 内 。 为 满足 用 户 需 求 ,建议 附件 大 小 可 以 更 | Post_log_06_06 建议 修改 


大 一 些 


9.1.3 上 传 照片 测试 


在 这 里 重点 介绍 相册 模块 中 上 传 照片 子 模块 的 测试 。 根 据 上 传 图 片 模块 的 功能 特点 ， 
采用 场景 测试 法 进行 测试 。 


1. 测试 用 例 设计 


使 用 场景 法 进行 测试 时 必须 首先 分 析 被 测 对 象 的 基本 事务 流 和 备 选 事务 流 。 上 传 图 片 
模块 的 开始 是 用 户 进入 相册 管理 。 上 传 图 片 包括 3 个 基本 步骤 : 


(1) 选择 图 片 ; 


(2) 选择 图 片 专辑 ; 

(3) 输入 认证 码 。 

这 3 步 依次 正确 地 操作 便 形 成 了 基本 事务 流 。 
在 该 模块 中 有 3 条 备 选 流 .分别 如 下 。 

(1) 备 选 流 一 : 在 基本 流 步骤 (1) 中 ,附件 不 符合 要 求 ( 非 图 片 或 图 片 格式 不 符合 要 求 、 
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附件 超过 指定 大 小 102 400B、 附 件 为 空 )。 
(2) 备 选 流 二 : 在 基本 流 步骤 (2) 中 ,添加 相册 。 有 两 种 情况 : 一 是 未 创建 相册 ,无 相册 
可 选 ,需要 添加 相册 ; 二 是 已 有 相册 ,准备 另外 添加 新 相册 。 
(3) 备 选 流 三 : 在 基本 流 步骤 (3) 中 ,认证 码 错误 。 
每 个 备 选 流 自 基本 流 开 始 , 之 后 备 选 流 会 在 某 个 特定 条 件 下 执行 。 备 选 流 可 能 会 重新 
加 入 基本 流 中 ,还 可 能 起 源 于 另 一 个 备 选 流 ,或 者 终止 用 例 而 不 再 重新 加 入 某 个 流 。 模 块 中 
每 条 可 能 路 径 , 可 以 确定 不 同 的 用 例 场景 。 从 基本 流 开始 ,将 基本 流 和 备 选 流 结合 起 来 ,可 
以 确定 以 下 用 例 场景 。 


场景 
场景 
场景 
场景 


1: 基本 流 ; 

2: 基本 流 、 备 选 流 一 ; 
3: 基本 流 、 备 选 流 二 ; 
4: 基本 流 、 备 选 流 三 ; 


场景 5: 基本 流 、 备 选 流 一 、 备 选 流 三 。 
由 场景 生成 测试 用 例 是 通过 确定 某 个 特定 条 件 来 完成 的 ,这 个 特定 条 件 将 导致 特定 用 
例 场景 的 执行 。 上 面 的 场景 设计 测试 用 例 , 如 表 9-10 所 示 。 


表 9-10 ”上传 图 片 流程 测试 用 例 


项 目 名 称 |[ 相册 模块 测试 项 目 编号 Photo 
开发 人 员 | XX 模块 名 称 相册 模块 
用 例 作者 “| Wang 参考 信息 需求 规格 说 明 书 、 概 要 设计 说 明 书 
测试 类 型 ”| 功能 测试 用 例 作者 Wang 设计 日 期 2014. 6.11 
测试 方法 “| 手工 ( 黑 盒 测试 7 测试 人 员 Lan 测试 日 期 2014. 6. 20 
测试 对 象 ”| 上 传 图 片 功 能 
前 时 条件“ | 用户 进 入 个 人 相册 管理 页 面 ,相册 中 已 存在 名 为 “图 标 "的 相册 。 上 传 图 片 的 类 型 必须 是 
gif 或 jpg, 图 片 大 小 不 能 超过 102400B 
输入 数据 
用 例 编号 场景 预期 结果 | 实际 结果 测试 状态 
图 片 相册 认证 码 (P/F) 
photo_01 | 场景 1: 成 功 上 | ji。 if | 选择 生活 Be 页 面 提示 完 | 页面 提示 , 完 | 
~ | 传 图 片 “| 天 地 相册 | 字 “ 臻 “| 成 相应 操作 | 成 相应 操作 
phor 02 | 场景 1: 成 功 上 | ， ，。 | 选择 生活 ee 页 面 提示 完 | 页 面 提示 ; 完 | 
一 “| 传 图 片 ”| 天 地 相册 | 。。 名 | 成 相应 操作 | 成 相应 操作 
弹出 对 话 框 ,| 弹出 对 话 框 ， 
a iid 法 捧 生 活 | 图 片 中 提示: 附件 的 | 提示， 附件 的 
Photo_03 格式 不 符合 要 |Lite bmp 天 地 相册 | 显示 的 数 | 类 型 不 匹配 ,| 类 型 不 匹配 ,| P 
加 字 一 致 ”| 返回 上 传 图 片 | 返回 上 传 图 片 
页 面 页 面 
提示 : 附件 超 | 提示 : 附件 超 
场景 2: 附件 不 符 与 图 片 中 
photo_04 | 全 要 求 (图 片 大 小 |Lite. jpg | 选择 生活 | 吕 示 的 数 | 过 指定 大 小 | 过 指定 大 小 | 
至 站 102400B) |(10333B) | 天 地 相册 | 字 _ 致 “|102400B, 返 回 | 102400B, 返 回 
上 传 图 片 页 面 | 上 传 图 片 页 面 
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续 表 
输入 数据 态 
用 例 编号 场景 预期 结果 | 实际 结果 | 测试 关 
图 片 相册 认证 码 (P/F) 
场景 2; 附件 不 这 反目 活 | 与 图 片 中 | 页面 提示 : 请 | 页 面 提示 : 请 
Photo_05 | 符合 要 求 (附件 | 无 天 地 相册 | 显示 的 数 | 选择 上 传 的 | 选择 上 传 的 | 了 
为 空 ) 字 一 致 “| 附件 附件 
页 面 提示 : 未 | 页 面 提示 : 未 
场景 3: 添加 相 
Photo_06| 册 (测试 未 创建 | Life jpg “| 无 相册 可 选 创建 相册, 转 | 创建 相册 , 园 | 囊 
en 入 添加 相册 | 入 添加 相册 
页 面 页 面 
场景 3: 添加 相 与 图 片 中 
Photo_07| 册 (已 有 相册 ,| Life. gif pe 显示 的 数 eng 0 P 
添加 新 相册 ) 字 一 至 
要 入 证 并 地 四 放 中 | 正大 性. 生生 员 检 民 , 尖 
Photo_08 错误 Life. gif “| 生活 天 地 2 回 上 传 图 片 | 回 上 传 图 片 P 
页 面 页 面 
提示 : 附件 的 | 提示: 附件 的 
类 型 不 匹配 ,| 类 型 不 匹配 
输入 验证 码 并 | 输入 验证 码 并 
Photo_09 2 Life. bmp 选择 生活 a 单机 [提交 了 护 | 音 击 [提交 ] 按 P 
| 全 高 二 ”| 天 地 相册 | 字 不 _ 致 | 钮 后 ,页 面 提 | 钮 后 ,页 面 所 
示 : 验证 码 错 | 示 : 验证 码 错 
误 , 返 回 上 传 | 误 ,返回 上 传 
图 片 页 面 图 片 页 面 
2. 执行 测试 


根据 相册 模块 的 特点 和 所 采用 的 测试 用 例 设计 方法 ,本 模块 采用 手动 方式 执行 测试 。 
根据 各 测试 用 例 的 说 明 ,依次 执行 。 


3. 测试 结果 分 析 


执行 完 各 测试 用 例 后 ,未 发 现 缺 陷 。 上 传 图 片 模块 的 功能 正常 ,但 上 传 图 片 最 大 只 有 
1MB, 不 能 满足 用 户 的 需求 ,建议 上 传 图 片 的 大 小 可 以 增加 到 5MB 以 上 ,以 满足 更 多 用 户 


的 需求 。 


9.1.4 链接 测试 


使 


(2) http://localhost/upload/www. phpwind. net errors: resource not found。 


Xenu Link Slenuth 对 LxBlog 博客 系统 进行 链接 测试 。 测 试 过 程 中 发 现 有 两 个 
错误 链接 ,错误 提示 如 下 。 


(1) http://localhost/upload/image/ default/styleuser. css errors: resource not found; 
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使 用 Xenu 进行 链接 测试 的 界面 如 图 9-6 所 示 。 


lxenu - [Xenul] 


园 Eile Bdit Yiew Options indor Jelp 


Blslal » "ls| ml ?| 


Address 1 因 | 
http://1ocalhost/upload/ article. php7type=bloshei d=1@i textJhtnT Le 
http://1ocalhost/uplosd/user_index. php?action=pushAit... ok text/htnl 3244 工 
http://1ocalhost/upload/js/article. js ok spplic, 12519 
http://1ocalhost/upload/login php ok text/html SITO L 
http://locslhost/upload/ Faq. php?faqjob=1 ok text/html 26904 工 
http://wre. ofstar com/bbs/ Skip ext, < 
http: /yee. phpwind net/ Skip ext, 

mailto: fengyuB163. com Skip ext. < 
http://1ocalhost/upload/wap/ ok text/y. 44T < 
http://locslhost/upload/inags/ default/styleuser. css et found text/htnl 
http://localhost/upload/search. php text/htnl 
http://1ocalhost/upload/sinple/index. php?t: text/html 
http://1ocslhost/upload/sinple/index. php? ty text/html 
http://1ocalhost/uplosd/ sinple/index. php?t: text/htnl 

javascript: scroll (0, 0) 

http://1ocalhost/upload/www. phpwina net text/htnl 
http://localhost/rss. php?uid=2 

http://1ocalhost/upload/blog php?do=listhnid=2 text/html 
http://1ocslhost/upload/blog php?do=listAui text/htnl 
http:7/localhostfupload/blog php?do=listhmi text/html 


图 9-6 链接 测试 界面 


Xenu 执行 完 测试 后 ,会 自动 生成 测试 报告 ,测试 报告 会 列 出 各 链接 的 URL, 并 分 析 网 
站 中 的 链接 情况 ,给 出 测试 结果 ,测试 结果 如 图 9-7 所 示 。 
All pages, by result type: 通过 对 上 述 错误 链接 的 检查 和 验证 ,其 中 的 两 个 


和 wz] 错误 链接 是 页 面 没有 找到 。Xenu 正确 无 误 地 查 出 和 
skip external 12URLs| ”022%| 报告 了 错误 链接 。 

not found 2URLs 0.04%| 

pending 54URLs| 0.97% 9.1.5 功能 测试 报告 

Total 5547 URLs| 100.00% 


本 次 LxBlog 博客 系统 功能 测试 主要 针对 用 户 

图 9-7 链接 测试 结果 登录 模块 .发 表 日 志 模块 .相册 模块 进行 功能 测试 , 主 
要 采用 边界 值 分 析 ,等 价 类 划分 场景 法 和 特殊 值 法 设计 测试 用 例 ,并 运用 手动 测试 和 自动 
化 测试 相 结 合 的 测试 策略 实施 测试 。 测 试 执行 情况 具体 见 表 9-11。 


表 9-11 测试 用 例 情况 


编号 功能 模块 用 例 个 数 执行 总 数 未 执行 数 
1 用 户 登 录 48 48 0 
2 发 表 日 志 84 84 0 
3 上 传 照片 9 9 0 


测试 完成 后 ,统计 各 模块 内 缺陷 数量 和 缺陷 密度 .如 表 9-12 所 示 。 
表 9-12 缺陷 密度 表 


功能 模块 用 例 个 数 缺陷 个 数 缺陷 密度 (%) 
用 户 登 录 48 4 8.3 
发 表 日 志 84 5 5.9 


上 传 照片 9 0 0 
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所 谓 缺 陷 密度 是 用 缺陷 的 个 数 除 以 整个 模块 用 例 的 个 数 得 到 的 一 个 比例 。 缺 陷 密 度 越 
大 ,证 明 在 这 组 用 例 中 得 到 的 缺陷 越 多 ,可 以 从 某 种 程度 上 反映 出 模块 需要 更 改 的 紧急 程 
度 。 根 据 缺 陷 密度 表 , 可 以 得 到 缺陷 密度 分 布 柱状 图 ,如 图 9-8 所 示 ,以 更 直观 的 方式 反映 
各 模块 的 缺陷 分 布 。 


50 于 用 例 个 数 
40 和 缺陷 个 数 
30 备 缺 陷 密 度 《%) 


用 户 登录 发 表 日 志 上 传 照片 


图 9-8 缺陷 密度 分 布 柱状 图 


在 LxBlog 博客 系统 的 功能 测试 中 ,重点 对 登录 模块 ,发 表 日 志 模 块 和 上 传 照片 模块 进 
行 测试 ,采用 等 价 类 划分 、 边 界 值 分 析 、 特 殊 值 和 场景 法 等 方法 设计 测试 用 例 , 共 设 计 测试 用 
例 141 个 。 通 过 手工 和 自动 化 测试 ,发 现 了 9 个 缺陷 ,并 在 各 模块 的 Bug 列表 中 详细 描述 。 
从 缺陷 密度 分 布 柱状 图 可 知 ,在 登录 模块 和 发 表 日 志 模 块 设计 的 测试 用 例 较 多 ,并 分 别 发 现 
4 个 和 5 个 缺陷 ,缺陷 密度 较 大 。 但 通过 缺陷 列表 可 知 ,这 些 缺 陷 都 属于 一 般 缺 陷 , 不 会 导 
致 系统 崩溃 ,也 不 会 给 用 户 的 使 用 带 来 严重 的 问题 。 因 此 ,只 要 将 以 上 9 个 缺陷 修复 后 , 系 
统 基 本 可 满足 用 户 使 用 要 求 。 

通过 测试 ,给 出 系统 改进 的 建议 是 : 在 上 传 照片 模块 中 ,用 户 可 以 上 传 的 照片 最 大 只 有 
1MB, 然 而 很 多 用 户 喜欢 上 传 高 清 照片 ,这 些 照片 往往 在 2MB 以 上 ,所 以 建议 将 上 传 照片 
的 大 小 改 为 5MB 最 为 合适 。 在 系统 发 表 日 志 中 ,附件 的 大 小 也 可 以 适当 大 一 些 。 


@.2 博客 系统 性 能 测试 


性 能 测试 就 是 模拟 大 量 用 户 对 软件 系统 的 各 种 操作 ,获取 系统 和 应 用 的 性 能 指标 ,分 析 
软件 是 否 满足 用 户 的 需求 。 性 能 测试 的 特点 决定 了 不 可 能 完全 采用 传统 的 手工 方式 完成 ， 
必须 借助 于 自动 化 测试 工具 来 实现 。 

本 系统 采用 HP-Mercury 公司 的 性 能 测试 工具 LoadRunner 进行 性 能 测试 。 


9.2.1 计划 测试 
1. 系统 分 析 


本 博客 系统 的 用 户 有 两 类 ,一 类 是 教师 , 约 3000 人 ,一 类 是 学 生 , 约 20 000 人 。 其 中 教 
师 可 以 建立 个 人 主页 并 进行 管理 ,学 生 ( 不 能 建立 个 人 主页 ) 主 要 是 浏览 教师 的 主页 ,下 载 相 
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关 资 料 。 
2. 系统 压力 强度 估算 


进行 性 能 测试 前 ,需要 初步 估计 系统 的 压力 。 测 试 压力 计算 可 以 按照 第 5 章 式 (5-2) 和 
(5-3) 计 算 。 
(1) 平均 并 发 用 户 数 
假设 博客 系统 每 天 登录 的 用 户 数 为 3000 人 ,用 户 登录 系统 的 平均 时 间 长 度 为 0. 5h, 考 
察 的 时 间 长 度 为 16h(8: 00 一 24: 00), 则 平均 并 发 用 户 数 为 : 
C=(3000X0.5)/16~94 
实际 测试 时 取 100 个 并 发 用 户 。 
(2) 最 大 并 发 用 户 数 
CC+3VC=94+29=123 
实际 测试 时 ,最 大 并 发 用 户 数 取 150。 


3. 系统 性 能 测试 项 


本 次 性 能 测试 的 主要 内 容 是 用 户 并 发 测试 ,主要 是 对 系统 的 核心 功能 和 重要 业务 进行 
测试 ,并 以 真实 的 业务 数据 作为 输入 ,选择 有 代表 性 和 关键 的 业务 操作 来 设计 测试 用 例 。 根 
据 测 试 计划 ,对 下 列 业务 进行 并 发 测试 : 登录 操作 ,发 表 日 志 、 上 传 照片 .组 合 业务 。 

注 : 由 于 条 件 的 限制 ,在 进行 性 能 测试 时 不 可 能 对 所 有 的 功能 点 都 测试 ,只 选择 几 个 典 
型 的 功能 点 。 


4. 测试 方法 


对 系统 进行 性 能 测试 必须 要 借助 于 性 能 测试 工具 进行 。 本 例 采 用 LoadRunner 进行 性 
能 测试 ,其 中 脚本 录制 和 编辑 工作 在 VuGen 中 进行 ,设计 场景 是 通过 Controller 进行 的 , 测 
试 结果 是 在 Analysis 中 进行 显示 的 。 

(1) 录制 脚本 

通过 需求 分 析出 几 个 比较 重要 的 业务 流程 ,给 出 详细 的 操作 步骤。 使 用 LoadRunner 
的 VuGen 按照 业务 流程 录制 脚本 ,为 每 个 流程 创建 一 个 单独 的 脚本 。 将 登录 模块 的 脚本 放 
在 Vuser_init 里 ,退出 模块 的 脚本 放 在 Vuser_end 里 ,其 余 的 均 放 在 Action 里 。 

(2) 执行 测试 场景 

打开 LoadRunner 的 Controller 来 设计 场景 .添加 要 进行 压力 测试 的 脚本 ,设置 好 虚拟 
用 户 的 数量 、 虚 拟 用 户 的 初始 化 方式 、 持 续 时 间 、 虚 拟 用 户 的 退出 方式 ,添加 好 Load 
Generator 并 启动 ,添加 Windows 的 指标 ,启动 运行 场景 。 

(3) 监控 系统 各 性 能 指标 

在 场景 执行 的 过 程 中 ,需要 随时 查看 系统 的 各 项 指标 以 及 资源 的 使 用 情况 ,以 便 分 析 系 
统 可 能 存在 的 瓶颈 。 

(4) 分 析 测 试 结果 

在 场景 运行 的 过 程 中 ,LoadRunner 会 通过 Load Generator 收集 性 能 指标 ,测试 执行 完 
毕 后 ,可 以 通过 Analysis 打开 测试 结果 ,对 其 进行 分 析 , 判 断 系统 可 能 存在 的 瓶颈 。 
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9.2.2 建立 测试 环境 


软件 运行 时 表现 出 来 的 性 能 除了 与 软件 本 身 有 关外 ,还 跟 其 运行 的 软 硬 件 环境 有 关 。 
影响 性 能 的 因素 包括 硬件 环境 (CPU 数 、 内 存 大 小 、 总 线 速度 )、 网 络 状况 、 系 统 /应 用 服务 
器 /数据 库 配 置 ,数据库 设计 和 数据 库 访问 实现 以 及 系统 架构 (同步 /异步 )。 因 此 配置 测试 
环境 是 测试 实施 的 一 个 重要 步骤 。 测 试 环境 适合 与 否 会 严重 影响 测试 结果 的 真实 性 和 正 
确 性 。 

性 能 测试 环境 要 求 和 真实 环境 一 致 或 可 对 比 。 做 性 能 测试 ,一 般 需要 在 真实 环境 ,或 者 
与 真实 环境 资源 配置 相同 的 环境 中 进行 ,需要 记录 所 有 相关 服务 器 和 测试 机 的 详细 信息 。 

本 次 性 能 测试 环境 与 真实 运行 环境 基本 一 致 ,都 运行 在 同样 的 硬件 和 网 络 环境 中 ,数据 
库 是 真实 环境 数据 库 的 一 个 复制 (或 缩小 ) ,本 系统 采用 标准 的 B/S 结构 ,客户 端 都 通过 浏 
览 器 访问 应 用 系统 。 

本 次 性 能 测试 的 环境 如 下 。 


1. 网 络 


网 络 环境 为 学 校内 部 的 以 太 网 ,与 服务 器 的 连接 速率 为 100MB/s, 与 客户 端的 连接 速 
率 为 10/100MB/s 自 适应 。 


2. 软 /硬件 配置 


性 能 测试 的 软件 和 硬件 配置 如 表 9-13 所 示 。 
表 9-13 ”性 能 测试 软 /硬件 配置 


设 备 硬件 配置 软件 配置 
CPU: Intel Xeon E3-1225v3 3. 3GHz Windows Server 2003 
内 存 : 4.0GB Web 服务 器 : Apache 2.2 
小 务 吉 硬盘 : 500GB 数据 库 : MySQL 5. 0. 24 
网 卡 : 10/100/1000MB/s 自 适应 PHP5.1.6 
笔记 本 (TOSHIBA) Window7 家 庭 版 32 位 操作 系统 
负载 产生 设备 CPU: Intel Core(T™M) i3 M350 2. 27GHz LoadRunnerll 
内 存 : 2.0GB Microsoft Office 2007 
CPU: Intel Core (TM) 2 Quad Q8200 @ | Windows XP 
负载 产生 设备 ”| 2.33GHz LoadRunnerll 
内 存 : 512MB Microsoft Office 2007 


性 能 测试 环境 的 模拟 图 如 图 9-9 所 示 。 
9.2.3 创建 测试 脚本 
1. 测试 用 例 设计 


本 例 中 重点 测试 登录 模块 .查看 日 志 、 发 表 日 志和 上 传 照片 等 业务 的 并 发 性 能 。 由 于 系 
统 用 户 中 ,只 有 教师 才能 发 表 日 志和 上 传 照片 ,教师 的 人 数 比 较 少 ,因此 并 发 测试 时 ,发 表 日 
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Windows 7 家 庭 版 32 位 Windows Server 2003 
Intel® core TM2 Quad Intel®Xeon ®E3-1225v3 
Q8200@2.33GHz 3.3GHz 
RAM:2GB RAM: 4GB 


图 9-9 性 能 测试 环境 


志和 上 传 照片 的 并 发 用 户 数 可 以 少 一 些 。 
(1) 登录 模块 


Windows XP 
Intel core™ i23 M350 
2.27GHz 
RAM: 2GB 


在 测试 用 例 设计 中 ,登录 用 户 分 别 取 10、20、50、100、200。 取 10 个 并 发 用 户 是 为 了 观 
察 少 量 用 户 登录 系统 时 系统 的 表现 ,然后 逐渐 增加 用 户 , 以 观察 系统 性 能 指标 随 用 户 增加 的 


变化 情况 。 登 录 模块 的 测试 用 例 见 表 9-14。 


表 9-14 登录 模块 测试 用 例 


用 例 名 称 登录 个 人 主页 测试 用 例 


用 例 编号 


Performance_Login 


用 例 目的 测试 多 用 户 登 录 时 系统 的 处 理 能 力 


(1) 访问 首页 

(2) 单 击 【登录 按钮 

(3) 输入 用 户 名 密码 和 验证 码 
(4) 单 击 【 登 录 ] 按 钮 ,完成 登录 


用 例 步骤 


采用 LoadRunner 的 VuGen 录制 登录 过 程 ,通过 参数 化 模拟 不 同 用 户 登 录 ,并 利用 IP 


测试 方法 欺骗 使 不 同 用 户 使 用 不 同 的 IP 地 址 ,然后 利用 Controller 执行 性 能 测试 ,收集 性 能 测 


试 数据 


并 发 用 户 数 与 事务 执行 情况 


事务 平均 响应 | 事务 最 大 响应 
时 间 时 间 


事务 成 功率 


每 秒 点 击 率 


平均 流量 
( 字 节 / 秒 ) 


(2) 发 表 日 志 ( 无 附件 ) 
发 表 日 志 ( 无 附件 ) 的 测试 用 例 见 表 9-15。 
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表 9-15 发 表 日 志 测 试用 例 


用 例 名 称 发 表 日 志 测 试用 例 用 例 编号 Performance_Postlog_01 
用 例 目的 测试 多 用 户 同时 添加 日 志 时 系统 的 处 理 能 力 
(1) 登录 个 人 主页 
(2) 进入 添加 日 志 页 面 
其 交 由 上 (3) 填写 日 志 内 容 , 不 添加 附件 
(4) 单 击 【提交 按钮 ,完成 日 志 发 布 
测试 方法 采用 LoadRunner 的 VuGen 录制 发 表 日 志 过 程 ,模拟 多 个 用 户 在 不 同 客户 端 添加 日 志 
和 提交 日 志 的 操作 ,然后 利用 Controller 执行 性 能 测试 ,收集 性 能 测试 数据 
并 发 用 户 数 与 事务 执行 情况 
事务 平均 响应 | 事务 最 大 响应 平均 流量 
并 发 用 户 数 时 间 /s 时 间 /s 事务 成 功率 每 秒 点 击 率 ( 字 节 / 秒 ) 


100 


注 : 在 添加 日 志 测试 用 例 中 最 大 并 发 用 户 数 只 取 了 100, 因 为 只 有 教师 才 会 发 表 日 志 。 


(3) 发 表 日 志 ( 带 附件 ) 
发 表 日 志 ( 带 附件 ) 的 测试 用 例 见 表 9-16。 


表 9-16 发 表 带 附件 的 日 志 测 试用 例 


用 例 名 称 发 表 日 志 测 试用 例 用 例 编号 Performance_Postlog_02 
用 例 目 的 测试 多 用 户 同时 添加 日 志 时 系统 的 处 理 能 力 
(1) 登录 个 人 主页 
(2) 进入 添加 日 志 页 面 
用 例 步 又 (3) 填写 日 志 内 容 
(4) 添加 附件 (附件 应 小 于 100KB) 
(5) 单 击 【提交 】 按 钮 ,完成 日 志 发 布 
测试 方法 采用 LoadRunner 的 VuGen 录制 发 表 日 志 过 程 ,模拟 多 个 用 户 在 不 同 客户 端 添加 日 志 
和 提交 日 志 的 操作 ,然后 利用 Controller 执行 性 能 测试 ,收集 性 能 测试 数据 
并 发 用 户 数 与 事务 执行 情况 
事务 平均 响应 | 事务 最 大 响应 平均 流量 
并 发 用 户 数 时 间 /s 时 间 /s 事务 成 功率 每 秒 点 击 率 /(B/s) 
10 
20 
50 
100 
(4) 上 传 照片 


上 传 照片 的 测试 用 例 见 表 9-17。 
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表 9-17 上 传 照片 测试 用 例 


用 例 名 称 上 传 照片 测试 用 例 用 例 编号 Performance_Photo 
用 例 目的 测试 多 用 户 同时 上 传 照片 时 系统 的 处 理 能 力 
(1) 登录 个 人 主页 
(2) 单 击 【 管 理 ]>【 相 册 】>【 上 传 照片 
用 例 步 又 (3) 在 描述 框 中 输入 文字 , 单 击 [浏览 ] 按 钮 ,找到 要 上 传 的 照片 
(4) 选择 图 片 专辑 
(5) 单 击 [ 提 交 ] 按 钮 ,完成 上 传 照片 操作 
采用 LoadRunner 的 VuGen 录制 上 传 照片 的 过 程 ,模拟 多 个 用 户 在 不 同 客户 端 上 传 照 
方法 片 ,然后 利用 Controller 执行 性 能 测试 ,收集 性 能 测试 数据 ,其 中 上 传 的 照片 不 能 超 
过 1MB 
并 发 用 户 数 与 事务 执行 情况 
事务 平均 响应 | 事务 最 大 响应 平均 流量 
并 发 用 户 数 时 间 /s 时 间 /a 事务 成 功率 每 秒 点 击 率 OB 
10 
20 
50 
100 
(5) 查看 日 志 


查看 日 志 的 测试 用 例 见 表 9-18。 


表 9-18 查看 日 志 测试 用 例 


用 例 名 称 查看 日 志 测试 用 例 用 例 编号 了 Performance_Readlog 
用 例 目的 测试 多 用 户 同时 查看 日 志 时 系统 的 处 理 能 力 
(1) 访问 首页 
(2) 单 击 日 志 链 接 
用 例 步骤 。 | (3) 阅读 日 志 
(4) 关闭 日 志 页 面 
方法 模拟 多 个 用 户 在 不 同 客户 端 查看 日 志 。 采 用 LoadRunner 的 VuGen 录制 查看 日 志 的 
过 程 ,然后 利用 Controller 执行 性 能 测试 ,收集 性 能 测试 数据 
并 发 用 户 数 与 事务 执行 情况 
事务 平均 响应 | 事务 最 大 响应 平均 流量 
并 发 用 户 数 时 间 /s 时 间 /s 事务 成 功率 每 秒 点 击 率 /CB/s) 


(6) 组 合 业务 性 能 测试 
所 有 的 用 户 不 会 只 使 用 核心 模块 ,通常 每 个 功能 都 可 能 使 用 到 ,所 以 既 要 模拟 多 用 户 的 
相同 操作 ,又 要 模拟 多 用 户 的 不 同 操作 ,对 多 个 业务 进行 组 合 性 能 测试 。 
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业务 组 合 测试 是 更 接近 用 户 实际 操作 系统 的 测试 ,因此 用 例 编写 要 充分 考虑 实际 情况 ， 
选择 最 接近 实际 的 场景 进行 设计 。 这 里 的 业务 组 成 单位 以 不 同 模块 中 的 “ 子 操作 事务 ”为 单 
位 ,进行 各 个 模块 的 不 同业 务 的 组 合 。 

下 面 选择 登录 系统 、 添 加 日 志 、 阅 读 日 志 、 添 加 照片 .浏览 照片 等 事务 作为 一 组 组 合 业务 
进行 测试 ,用 例 设计 信息 如 表 9-19 所 示 。 


表 9-19 组 合 业 务 测试 用 例 


用 例 名 称 


组 合 业务 测试 用 例 用 例 编号 Performance_ Combination 


测试 目的 


测试 系统 在 线 用 户 达 到 高 峰 时 ,用 户 可 以 正常 使 用 系统 ,保证 1000 个 以 内 用 户 可 以 同 
时 访问 网 站 


测试 方法 


采用 LoadRunner 的 VuGen 录制 4 个 业务 : 

业务 1 登录 个 人 主页 

业务 2 一 一 发 布 日 志 

业务 3 一 一 阅读 日 志 

业务 4 一 一 在 相册 系统 中 上 传 照片 

为 每 个 业务 分 配 一 定数 目的 用 户 , 利 用 LoadRunner Controller 来 执行 测试 ,收集 测试 
数据 。 其 中 业务 1 占 总 用 户 的 20%, 业 务 2 占 总 用 户 的 20%, 业 务 3 占 总 用 户 的 
50% ,业务 4 占 总 用 户 的 10% 


并 发 用 户 数 与 事务 执行 情况 


并 发 用 户 数 20 50 100 150 200 


业务 1 


事务 平均 响 


业务 2 


应 时 间 /s 


业务 3 


业务 4 


业务 1 


事务 最 大 响 


业务 2 


应 时 间 /s 


业务 3 


业务 4 


业务 1 


事务 成 功率 


业务 2 


业务 3 


业务 4 


平均 每 秒 点 击 率 


吞吐 量 


2. 测试 脚本 开发 


性 能 测试 脚本 是 描述 单个 浏览 器 向 Web 服务 器 发 送 的 HTTP 请 求 序列 。 将 业务 流程 
转化 为 测试 脚本 ,通常 指 的 就 是 虚拟 用 户 脚本 或 虚拟 用 户 。 虚 拟 用 户 通过 驱动 一 个 真正 的 
客户 程序 来 模拟 真实 用 户 。 在 这 个 步骤 里 ,要 将 各 类 被 测 业务 流程 从 头 至 尾 进行 确认 和 记 
录 , 和 弄 清 这 些 过 程 可 以 帮助 分 析 到 每 步 操作 的 细节 和 时 间 , 并 能 精确 地 转化 为 脚本 。 此 过 程 
类 似 于 制造 一 个 能 够 模仿 人 的 行为 和 动作 的 机 器 人 的 过 程 ,其 实质 是 将 现实 世界 中 的 单个 
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用 户 行为 比较 精确 地 转化 为 计算 机 程序 语言 。 

脚本 编辑 和 编译 工作 在 LoadRunner 的 Virtual User Generator( 虚 拟 用 户 生成 器 ， 
VuGen) 中 进行 。VuGen 通过 录制 对 客户 端 应 用 程序 执行 的 操作 来 创建 虚拟 用 户 脚 本 。 运 
行 录制 的 脚本 时 ,生成 的 虚拟 用 户 将 模拟 客户 端 与 服务 器 之 间 的 交互 活动 (通信 过 程 ) 。 

使 用 LoadRunner 进行 性 能 测试 ,创建 脚本 的 一 般 流程 如 下 。 

(1) 录制 脚本 

通过 VuGen 录制 用 户 访问 网 站 的 业务 过 程 ,生成 测试 脚本 ,然后 对 脚本 进行 回放 验证 ， 
确保 脚本 回放 正确 。 

(2) 模拟 用 户 行为 

通过 参数 化 关联、 集合 点 和 运行 时 设置 ,对 用 户 行为 进行 模拟 。 

(3) 添加 监控 

添加 事务 及 手工 事务 检查 ,实现 对 业务 的 响应 时 间 的 监控 。 

创建 的 每 个 虚拟 用 户 脚本 至 少 包含 3 部 分 : vuser_init, 一 个 或 多 个 Actions 以 及 vuser_ 
end。 通 常情 况 下 ,可 以 将 登录 到 服务 器 的 活动 录制 到 vuser_init 部 分 中 、 将 客户 端 活 动 录 
制 到 Actions 部 分 中 ,并 将 注销 过 程 录 制 到 vuser_end 部 分 中 。 表 9-20 显示 了 要 在 每 一 部 
分 录制 的 内 容 以 及 执行 每 一 部 分 的 时 间 。 

表 9-20 虚拟 用 户 脚 本 结构 


脚本 部 分 录制 内 容 执行 时 间 
vuser_init 登录 到 服务 器 初始 化 Vuser( 已 加 载 ) 
Action 客户 端 活动 Vuser 处 于 运行 状态 
vuser_end 注销 过 程 Vuser 完成 或 停止 


运行 多 次 迭代 的 Vuser 脚本 时 ,只 有 脚本 的 Actions 部 分 重复 ,而 vuser_init 和 vuser_ 
end 部 分 将 不 重复 。 

下 面 对 博客 系统 中 关键 的 业务 流程 进行 录制 ,生成 测试 脚本 ,并 调试 测试 脚本 ,对 相关 
的 输入 项 进行 参数 化 。 

(1) 用 户 登 录 

录制 登录 模块 的 脚本 时 涉及 到 验证 码 的 问题 。 为 简化 问题 ,采用 万 能 验证 码 ,验证 码 为 
“1234”, 并 对 用 户 名 和 密码 进行 参数 化 。 录 制 的 业务 过 程 为 : 用 户 输入 网 站 首页 地 址 ,在 用 
户 名 密码 和 验证 码 输 入 框 中 输入 正确 的 内 容 , 然 后 单 击 【 登 录 ] 按 钮 。 

测试 脚本 如 下 。 


Action() 
{ 
web_url("index. php", 

"URL = http://192. 168. 1.10/Blog/index. php", 
"Resource= 0", 
"RecContentType = text/html"， 
"Referer = ", 
"Snapshot = t1. inf", 
"Mode = HTML", 
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MY 


EXTRARES, 
"Url = image/default/guide - tab. gif", ENDITEM, 
"Url = image/default/guidebg. gif", ENDITEM, 
"Url = image/default/guideli. gif", ENDITEM, 
"Url = image/default/jionleft. gif", ENDITEM, 
"Url = image/default/jionright. gif", ENDITEM, 
"Url = image/default/jionmiddle. gif", ENDITEM, 
"Url = image/default/guideyinbg. gif", ENDITEM, 
"Url = image/default/fenleibg. gif", ENDITEM, 
"Url = image/default/tagsbg. gif", ENDITEM, 
"Url = image/default/mapsearchbt. gif", ENDITEM, 
"Url = image/default/zhucebg. gif", ENDITEM, 
"Url = image/default/tabAl. gif", ENDITEM, 
"Url = image/default/more. gif", ENDITEM, 
"Url = image/default/searchbg. gif", ENDITEM, 
"Url = image/default/bt. gif", ENDITEM, 
"Url = image/default/h5bg. gif", ENDITEM, 
LAST); 

1r_ think time(10); 

lr_rendezvous("login"); 

lr_start_transaction("login"); 

web_submit form("login. php", 
"Snapshot = t2. inf", 
ITEMDATA, 
"Name = pwtypev", "Value = {Username}", ENDITEM, 
"Name = pwpwd", "Value = {Password}", ENDITEM, 
"Name = gdcode", "Value = 1234", ENDITEM, 
EXTRARES, 
"Url = image/default/guide - tab. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/guidebg. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/guideli. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/jionleft. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/jionright. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/jionmiddle. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/fenleibg. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/guideyinbg. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/tagsbg. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/mapsearchbt. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/tabAl. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/more. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/h5bg. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/searchbg. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
LAST); 

lr_end transaction("login", LR_ AUTO); 

return 0; 


如 果 对 系统 用 户 的 行为 模仿 失真 ,不 能 反映 系统 真实 的 使 用 情况 ,性 能 测试 的 有 效 性 入 
必要 性 也 就 失去 了 意义 。 我 们 录制 的 脚本 中 用 户 名 和 密码 是 固定 的 ,也 就 是 说 ,所 有 用 户 都 
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用 同一 个 用 户 名 和 密码 登录 ,这 和 实际 情况 不 符 ,因此 对 用 户 名 和 密码 进行 参数 化 ,以 便 更 
真实 地 模拟 实际 情况 。 在 代码 中 进行 参数 化 的 语句 是 : 


"Name = pwtypev"，" Value = {Username}", ENDITEM, 
"Name = pwpwd", "Value = {Password}", ENDITEM, 


用 户 名 和 密码 的 参数 化 设置 界面 如 图 9-10 所 示 。 


转 Parameter Properties - [Password] 


Browse.. 


elete Rio 


Password 
123456 
1anl23 
liuliu 
lideng 
123456 


789123 
liuhai 201234 
guodong dongl23 


Edkwih Notepad .| DataWizad.. Simulale Parameter. 


-Select column 了 ile format 
cmwaae ma Ee J 
ma Jesse Ja 三 司 
[ad | 
Updaevauem [Eachieam 可 


Select next row: 


图 9-10 参数 化 脚本 


(2) 发 表 日 志 

在 发 表 日 志 模 块 中 ,需要 录制 两 份 脚本 ,分 别 是 发 表 不 带 附件 的 日 志和 发 表 带 有 附件 的 
日 志 。 录 制 的 业务 过 程 为 : 登录 个 人 主页 ,进入 添加 日 志 页 面 ,填写 日 志 内 容 , 提 交 日 志 , 
出 系统 。 在 脚本 中 需要 插入 事务 和 集合 点 。 

| 插入 事务 : 为 了 在 执行 测试 时 更 准确 地 获得 提交 日 志 的 响应 时 间 和 其 他 性 能 指标 ， 
需要 将 提交 日 志 的 过 程 单 独 作为 一 个 事务 。 

@ 搬入 集 合 点 : 在 测试 计划 中 ,要 求 系统 能 够 承受 大 量 用 户 ( 如 100 人 ) 同 时 提交 数据 ， 
在 LoadRunner 中 可 以 通过 在 提交 数据 操作 前 面 加 入 集合 点 来 实现 。 当 虚拟 用 户 运行 到 提 
交 数 据 的 集合 点 时 , LoadRunner 会 检查 有 多 少 用 户 运行 到 集合 点 ,如 果 不 到 100 人 ， 
LoadRunner 就 会 命令 已 经 到 集合 点 的 用 户 在 此 等 待 ; 当 在 集合 点 等 待 的 用 户 达 到 100 人 
时 ,LoadRunner 命令 100 人 同时 提交 数据 ,从 而 达到 测试 计划 中 的 需求 。 

@ 参数 化 : 为 了 更 真实 模拟 用 户 发 表 日 志 的 过 程 ,需要 对 脚本 中 的 日 志 标 题 和 日 志 内 


第 9 章 “博客 系统 测试 “A287 
MA 


容 进行 参数 化 。 

@ 设置 思考 时 间 : 在 录制 测试 脚本 时 ,记录 了 用 户 的 操作 时 间 , 在 脚本 中 用 lr_think_ 
time(16) 函 数 来 表示 ,其 中 16 是 录制 脚本 时 测试 者 实际 的 操作 时 间 。 为 了 更 合理 地 模拟 用 
户 使 用 系统 ,可 以 在 Run - time Settings 中 设置 思考 时 间 , 如 将 思考 时 间 设 置 为 8 一 
24 之 间 随 机 变化 。 

发 表 不 带 附 件 的 日 志 的 关键 脚本 如 下 。 


Rction() 
{ 
web_link( "发 表 日 志 "， 
"Text = 发 表 日 志 "， 
"Snapshot = t3. inf", 
EXTRARES, 
"Url = image/default/user/bg. jpg", "Referer = http://192. 168. 1. 10/Blog/user _| 
index. php?action = post&type = blog", ENDITEM, 
"Url = image/default/user/g2a. jpg", "Referer = http://192. 168. 1. 10/Blog/user | 
index. php?action = post&type = blog", ENDITEM, 
"Url = image/default/user/pwlogo. jpg", "Referer = http://192. 168.1.10/Blog/user_| 
index. php?action = post&type = blog", ENDITEM, 
"Url = js/lang/zh_cn. js", "Referer = http://192. 168. 1. 10/Blog/user_ index. php? 
action = post&type = blog", ENDITEM, 
"Url = js/zh_cn. js", "Referer = http://192.168.1.10/Blog/user_index. php?action = 
post&type = blog", ENDITEM, 
"Url = image/default/user/box3bg. gif", "Referer = http://192. 168. 1.10/Blog/user_| 
index. php?action = post&type = blog", ENDITEM, 
"Url = image/default/user/more2. gif", "Referer = http://192. 168. 1. 10/Blog/user_ 
index. php?action = post&type = blog", ENDITEM, 
"Url = image/default/user/btn. gif", "Referer = http://192. 168. 1. 10/Blog/user _| 
index. php?action = post&type = blog", ENDITEM, 
"Url = image/smile/default/1. gif", "Referer = http://192. 168. 1. 10/Blog/user _| 
index. php?action = post&type = blog", ENDITEM, 
"Url = image/smile/default/13. gif", "Referer = http://192. 168. 1. 10/Blog/user _| 
index. php?action = post&type = blog", ENDITEM, 
"Url = image/smile/default/12. gif", "Referer = http://192. 168. 1. 10/Blog/user_ 
index. php?action = post&type = blog", ENDITEM, 
"Url = image/smile/default/11. gif", "Referer = http://192. 168. 1. 10/Blog/user _| 
index. php?action = post&type = blog", ENDITEM, 
"Url = image/smile/default/7. gif", "Referer 
index. php?action = post&type = blog", ENDITEM, 
"Url = image/smile/default/9. gif", "Referer 
index. php?action = post&type = blog", ENDITEM, 
"Url = image/smile/default/10. gif", "Referer = http://192. 168. 1. 10/Blog/user | 
index. php?action = post&type = blog", ENDITEM, 
"Url = image/smile/default/8. gif", "Referer = http://192. 168. 1. 10/Blog/user_ 
index. php?action = post&type = blog", ENDITEM, 
LAST); 
lr think time(16); 
lr_rendezvous("PostLog"); 


http://192. 168. 1. 10/Blog/user _ 


http://192. 168. 1. 10/Blog/user _| 
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1r_start transaction("PostLog"); 
web_submit data( "user index. php", "Action = http://192.168.1.10/Blog/user_index. php? 
action = post&type = blog&job = add&verify= 55185844&", 
"Method = POST", 
"EncType = multipart/form— data"， 
"RecContentType = text/html"， 
"Referer = http://192.168.1.10/Blog/user_index. php?action = post&type = blog", 
"Snapshot = t4. inf", 
"Mode = HTML", 
ITEMDATA, 
"Name = step", "Value = 2", ENDITEM, 
"Name = atc title", "Value= {Log title}", ENDITEM, 
"Name = atc_iconidl", "Value = 0", ENDITEM, 
"Name = atc_iconid2", "Value = 0", ENDITEM, 
"Name = atc_autourl"，"Value = 1", ENDITEM, 
"Name = atc_content"，"Value = {Log_content}", ENDITEM, 
"Name = atc_descl"，"Value = ", ENDITEM, 
"Name = attachment 1", "Value=", "File= Yes", ENDITEM, 
"Name = atc_cid", "Value = 1", ENDITEM, 
"Name = atc_dirid", "Value =", ENDITEM, 
"Name = dirname", "Value =", ENDITEM, 
"Name = dirorder", "Value =", ENDITEM, 
"Name = atc_allowreply", "Value = 1", ENDITEM, 
"Name = atc_ifhide", "Value = 0", ENDITENM, 
"Name = Submit"，"Value = 提 交 "，ENDITEM, 
EXTRARES, 
"Url = image/default/user/bg. jpg", "Referer = http://192. 168. 1. 10/Blog/user _| 
index. php?action = itemcp&type = blog", ENDITEM, 
"Url = image/default/user/g2a. jpg", "Referer = http://192. 168. 1. 10/Blog/user_ 
index. php?action = itemcp&type = blog", ENDITEM, 
"Url = image/default/user/pwlogo. jpg", "Referer = http://192.168.1.10/Blog/user_| 
index. php?action = itemcp&type = blog", ENDITEM, 
"Url = image/default/user/btn. gif", "Referer = http://192. 168. 1. 10/Blog/user_ 
index. php?action = itemcp&type = blog", ENDITEM, 
LAST); 
1r_end_ transaction("PostLog", LR_AUTO); 
return 0; 


(3) 上 传 照片 
上 传 照片 的 脚本 如 下 。 


Action() 
{ 
web_url("index. php", 
"URL = http://192.168.1.10/Blog/index. php", 
"Resource = 0", 
"RecContentType = text/html"， 
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1r_think time(15); 
web_submit_form("login. php"， 


lr think time(4); 
web_link( "管理"， 


"Referer = ", 

"Snapshot = t1. inf", 

"Mode = HTML", 

EXTRARES, 

"Url = image/default/guidebg. gif", ENDITEM, 
"Url = image/default/guide - tab. gif", ENDITEM, 
"Url = image/default/guideli. gif", ENDITEM, 
"Url = image/default/jionleft. gif", ENDITEM, 
"Url = image/default/jionright. gif", ENDITEM, 
"Url = image/default/jionmiddle. gif", ENDITEM, 
"Url = image/default/fenleibg. gif", ENDITEM, 
"Url = image/default/guideyinbg. gif", ENDITEM, 
"Url = image/default/tagsbg. gif", ENDITEM, 
"Url = image/default/mapsearchbt. gif", ENDITEM, 
"Url = image/default/searchbg. gif", ENDITEM, 
"Url = image/default/zhucebg. gif", ENDITEM, 
"Url = image/default/tabAl. gif", ENDITEM, 

"Url = image/default/more. gif", ENDITEM, 

"Url = image/default/bt. gif", ENDITEM, 

"Url = image/default/h5bg. gif", ENDITEM, 
LAST); 


"Snapshot = t2. inf", 

ITEMDATA, 

"Name = pwtypev", "Value = lan", ENDITEM, 

"Name = pwpwd", "Value = 123456", ENDITEM, 

"Name = gdcode", "Value = 1234", ENDITEM, 

EXTRARES, 

"Url = image/default/guide - tab. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/guidebg. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/guideli. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/jionleft. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/jionright. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/guideyinbg. gif"，"Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/jionmiddle. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/fenleibg. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/tagsbg. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 

"Url = image/default/mapsearchbt. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/searchbg. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/more. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/h5bg. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
"Url = image/default/tabAl. gif", "Referer = http://192.168.1.10/Blog/", ENDITEM, 
LAST); 


"Text = 管理 "， 
"Snapshot = t3. inf", 
EXTRARES, 
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"Url = image/default/user/bg. jpg", ENDITEM, 
"Url = image/default/user/pwlogo. jpg", ENDITEM, 
"Url = image/default/user/btn. gif", ENDITEM, 
"Url = image/default/user/hlbg. gif", ENDITEM, 
LAST); 
web_link(" 相 册 "， 
"Text = 相册 "， 
"Snapshot = t4. inf", 
EXTRARES, 
"Url = image/default/user/g2a. jpg", "Referer = http://192. 168. 1. 10/Blog/user | 
index. php?action = post&type = photo", ENDITEM, 
"Url = js/lang/zh_cn. js", "Referer = http://192. 168. 1. 10/Blog/user_ index. php? 
action = post&type = photo", ENDITEM, 
LAST); 
1r_think time(19); 
lr_rendezvous("Photos"); 
lr_start transaction("Photos"); 
web_submit data("user index. php", "Action = http://192.168.1.10/Blog/user_index. php? 
action = post&type = photog&job = add&verify= 9caaf4abg", 
"Method = POST", 
"EncType = multipart/form — data", 
"RecContentType = text/html"， 
"Referer = http://192.168.1.10/Blog/user_index. php?action= post&type = photo", 
"Snapshot = t5. inf", 
"Mode = HTML", 
ITEMDATA, 
"Name = step", "Value = 2", ENDITEM, 
"Name = atc_descl"，"Value= 图 片 二 "，ENDITEM, 
"Name = atc_tagsl"，"Value = 六 一 图 片 1"，ENDITEM, 
"Name = attachment_1", "Value = C:\\Documents and Settings\\Administrator\\ 桌 面 \\1. 
jpg", "File= Yes", ENDITEM, 
"Name = atc_desc2"，" Value = ", ENDITEM, 
"Name = atc_tags2"，" Value =", ENDITEM, 
"Name = attachment_2", "Value=", "File= Yes", ENDITEM, 
"Name = atc_aid"，" Value = 2", ENDITEM, 
"Name = gdcode"，" Value = 1234", ENDITEM, 
"Name = Submit"，"Value= 提 交 "，ENDITEM, 
EXTRARES, 
"Url = image/default/user/bg. jpg", "Referer = http://192. 168. 1. 10/Blog/user_ 
index. php?action = itemcp&type = photo", ENDITEM, 
"Url = image/default/user/g2a. jpg", "Referer = http://192. 168. 1. 10/Blog/user_ 
index. php?action = itemcp&type = photo", ENDITEM, 
"Url = image/default/user/pwlogo. jpg", "Referer = http://192.168.1.10/Blog/user_ 
index. php?action = itemcp&type = photo", ENDITEM, 
"Url = image/default/user/btn. gif", "Referer = http://192. 168. 1. 10/Blog/user | 
index. php?action = itemcp&type = photo", ENDITEM, 
LAST); 
lr_end transaction("Photos", LR_AUTO); 
return 0; 
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(4) 查看 日 志 
在 查看 日 志 的 性 能 测试 中 ,需要 录制 两 份 测试 脚本 。 一 份 只 录制 用 户 查 看 日 志 的 过 程 ， 


份 录制 


j 户 查看 日 志和 发 表 评 论 的 过 程 。 


查看 日 志 ( 不 发 表 评 论 ) 的 脚本 如 下 。 


Action() 


{ 


web_url("index. php", 


1r_think time(8); 
web_link(" 日 志 "， 


type = blog", ENDITEM, 
= blog", ENDITEM, 
lr think time(4); 


1r_start_transaction("Read_ 10g"); 
web_link("Web application testing", 


"URL = http://192. 168. 1. 10/Blog/index. php", 
"Resource = 0", 

"RecContentType = text/html"， 

"Referer=", 

"Snapshot = t1. inf", 

"Mode = HTML", 

EXTRARES, 

"Url = image/default/guidebg. gif", ENDITEM, 
"Url = image/default/guide - tab. gif", ENDITEM, 
"Url = image/default/guideli. gif", ENDITEM, 
"Url = image/default/jionleft. gif", ENDITEM, 
"Url = image/default/jionright. gif", ENDITEM, 
"Url = image/default/jionmiddle. gif", ENDITEM, 
"Url = image/default/guideyinbg. gif", ENDITEM, 
"Url = image/default/fenleibg. gif", ENDITEM, 
"Url = image/default/tagsbg. gif", ENDITEM, 
"Url = image/default/mapsearchbt. gif", ENDITEM, 
"Url = image/default/searchbg. gif", ENDITEM, 
"Url = image/default/zhucebg. gif", ENDITEM, 
"Url = image/default/more. gif", ENDITEM, 

"Url = image/default/tabAl. gif", ENDITEM, 

"Url = image/default/bt. gif", ENDITEM, 

"Url = image/default/h5bg. gif", ENDITEM, 
LAST); 


"Text= 日 志 "， 

"Snapshot = t2. inf", 

EXTRARES, 

"Url = image/default/guideB. gif", "Referer = http://192. 168.1.10/Blog/cate. php? 


"Url = image/default/yue. gif", "Referer = http://192. 168.1.10/Blog/cate. php?type| 


LAST); 


"Text = Web application testing", 
"Ordinal =1", 
"Snapshot = t3. inf", 
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EXTRARES, 

"Url = image/smile/default/1. gif", "Referer = http://192. 168. 1. 10/Blog/article. 
php?type = blog&cid = 1&itemid = 2095", ENDITEM, 

"Url = image/smile/default/13. gif", "Referer = http://192. 168.1.10/Blog/article. 
php?type = blog&cid = 1&itemid = 2095", ENDITEM, 

"Url = image/smile/default/12. gif", "Referer = http://192. 168.1.10/Blog/article. 
php?type = blog&cid = 1&itemid = 2095", ENDITEM, 

"Url = image/smile/default/11. gif", "Referer = http://192. 168.1.10/Blog/article. 
php?type = blog&cid = 1&itemid = 2095", ENDITEM, 

"Url = image/smile/default/10. gif", "Referer = http://192. 168. 1. 10/Blog/article. 
php?type = blog&cid = 1&itemid = 2095", ENDITEM, 

"Url = image/smile/default/9. gif", "Referer = http://192. 168. 1. 10/Blog/article. 
php?type = blog&cid= 1&itemid = 2095", ENDITEM, 

"Url = image/smile/default/7. gif", "Referer = http://192. 168. 1. 10/Blog/article. 
php?type = bloggcid = 1&itemid = 2095", ENDITEM, 

"Url = image/smile/default/8. gif", "Referer = http://192. 168. 1. 10/Blog/article. 
php?type = blog&cid = 1&itemid = 2095", ENDITEM, 

LAST); 

lr_end transaction("Read log", LR_AUTO); 
return 0; 


9.2.4 执行 测试 
1. 设置 性 能 测试 场景 


在 LoadRunner 的 Controller 中 使 用 “手动 设置 "方式 来 设计 场景 ,其 界面 如 图 9-11 所 
示 。 在 Scenario Scripts 中 设置 要 执行 的 脚本 ,并 选择 Load Generators( 虚 拟 用 户 加 载 器 )， 
即 设置 运行 测试 脚本 的 物理 机 器 。 在 Global Schedule 中 主要 设置 虚拟 用 户 的 数量 ,虚拟 用 
户 初始 化 、 启 动 、 退 出 的 方式 ,以 及 满 负载 时 的 持续 时 间 等 参数 。 


Schedule Builder 


Schedule Name: [Detault Schedule 


一 一 Schedule Definiion 
ey 他 Schedule by Scenario Schedule by Group 


Ranp Up | Duration Ranp Down | 


Stop Setings 
三 Stop all Vusers simulaneously 


F Stop 0 ”图 Vusers evey momo 图 HHMM:sS] 


NOTE: These setings are relevant onky f you speciied 
amied duration mn the Duration ab 


000030 0001:00 00:01:30 00:0200 00023 


Elapsed Time 
厂 Iniialze all Vusers before Run 


{selecting this oplion means that unring begine only after al Vusers reach the Ready state] ok | Cre | tep | 


图 9-11 手动 场景 设置 
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2. 虚拟 IP 的 设置 


当 运 行 场景 时 ,虚拟 用 户 使 用 它们 所 在 的 Load Generator( 虚 拟 用 户 加 载 器 ) 的 固定 的 
IP 地 址 。 同 时 每 个 Load Generator 上 运行 大 量 的 虚拟 用 户 , 这 样 就 造成 了 大 量 的 用 户 使 用 
同一 IP 地 址 同时 访问 一 个 网 站 ,这 种 情况 和 实际 运行 的 情况 不 符 , 并 且 有 一 些 网 站 会 根据 
用 户 IP 地 址 来 分 配 资源 ,这 些 网 站 会 限制 多 个 用 户 用 同一 个 IP 地 址 来 登录 和 使 用 等 。 为 
了 更 加 真实 地 模拟 实际 情况 ,LoadRunner 允许 运行 的 虚拟 用 户 使 用 不 同 的 IP 地 址 访问 同 
一 网 站 ,这 种 技术 称 为 IP 欺骗 (IP Spoofer)。 启 用 该 选项 后 ,场景 中 运行 的 虚拟 用 户 将 模拟 
从 不 同 的 IP 地 址 发 送 请 求 。 

虚拟 IP 的 设置 过 程 请 参看 LoadRunner 使 用 指南 。 


3. 监控 各 性 能 指标 


在 性 能 测试 执行 过 程 中 ,需要 关注 应 用 系统 的 各 项 响应 指标 和 系统 资源 的 各 项 指标 。 
实时 监测 能 让 测试 人 员 时 刻 了 解 应 用 程序 的 性 能 ,在 测试 执行 中 及 早 发 现 性 能 瓶颈 。 

在 LoadRunner 的 Controller 中 有 Windows 系统 资源 计数 器 Apache 计数 器 .MySQL 
计数 器 ,能 够 检测 系统 资源 消耗 情况 ,并 最 终 和 测试 结果 数据 合并 ,形成 分 析 图 表 。 测试 结 
果 可 在 测试 执行 完毕 后 ,通过 LoadRunner 工具 中 的 Analysis( 分 析 器 ) 获 得 。 


4. 执行 测试 场景 


(1) 登录 个 人 主页 

按照 测试 用 例 的 要 求 设置 测试 场景 。 

场景 1: 模拟 10 个 用 户 在 同一 时 刻 登 录 系 统 ,持续 时 间 为 5min; 

场景 2: 模拟 20 个 用 户 在 同一 时 刻 登 录 系统 ,持续 时 间 为 5min; 

场景 3: 模拟 50 个 用 户 在 同一 时 刻 登 录 系统 ,持续 时 间 为 5min; 

场景 4: 模拟 100 个 用 户 在 同一 时 刻 登 录 系 统 , 持 续 时 间 为 5min; 

场景 5: 模拟 150 个 用 户 逐 步 登录 系统 : 首先 10 个 用 户 登 录 ,然后 每 阳 10s 登录 5 个 ， 
持续 时 间 为 5min。 

场景 设置 完成 后 ,控制 器 将 脚本 分 发 到 负载 生成 器 ,负载 生成 器 运行 测试 脚本 ,向 被 测 
系统 发 起 负载 ,同时 通过 服务 器 上 的 性 能 监控 器 收集 性 能 数据 。 性 能 信息 采样 频率 会 对 服 
务 器 的 性 能 产生 影响 ,选取 重要 的 性 能 计数 器 并 使 用 低 的 采样 率 降低 干扰 。 执 行 测试 场景 


的 界面 如 图 9-12 所 示 。 
分 别 依次 执行 以 上 5 个 测试 场景 ,并 记录 测试 数据 。 测 试 数据 如 表 9-21 所 示 。 
表 9-21 登录 测试 结果 数据 
用 例 名 称 登录 模块 性 能 测试 用 例 编号 了 Performance_Login 

事务 平均 响应 | 事务 最 大 响应 平均 每 秒 平均 流量 

并 发 用 户 数 时 间 /s 时 间 /s 玫 网 贡 这 点 击 率 /(B/s) 
10 Ll 1.199 100% 9.5 66 480 

20 1.059 1.097 100% 25.9 222 879 

50 1.379 3.534 100% 54.8 140 484 

100 5.525 ll.125 100% 107 192 206 

150 8. 231 19.45 100% 89.2 200 385 


注 : 这 里 的 登录 成 功用 户 指 的 是 系统 接受 了 其 登录 请 求 ,并 建立 了 连接 。 平 均 响应 时 间 在 登录 脚本 里 设置 检测 点 ， 
由 LoadRunner 工具 自动 获得 。 
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图 9-12 执行 测试 场景 


(2) 发 表 日 志 ( 不 带 附 件 ) 
发 表 日 志 的 测试 场景 设置 方法 同 (1) ,依次 执行 各 测试 场景 。 测 试 结果 数据 见 表 9-22。 


表 9-22 发 表 日 志 ( 不 带 附 件 ) 测 试 数据 


用 例 名 称 发 表 日 志 ( 不 带 附件 ) 性 能 测试 用 例 编号 Performance_Postlog01 
事务 平均 响应 | 事务 最 大 响应 平均 每 秒 平均 流量 

和 全 本 时 间 /s 时 间 /s 认 务 友 功 率 点 击 率 /(B/s) 

10 SL 2. 399 100% 18.8 59 513 

20 2. 105 2.133 100% 35.8 111 331 

50 2. 108 CE 100% 76.1 236 345 

100 2. 395 6711 100% 150.2 467 282 


(3) 发 表 日 志 ( 带 附件 ) 
发 表 带 附件 的 日 志 的 测试 过 程 同 上 .测试 结果 数据 如 表 9-23 所 示 。 


表 9-23 发 表 日 志 ( 带 附件 ) 测 试 数据 


用 例 名 称 发 表 日 志 ( 带 附件 ) 性 能 测试 用 例 编号 了 Performance_Postlog02 
事务 平均 响应 | 事务 最 大 响应 平均 流量 

并 发 用 户 数 时 间 /s 时 间 /s 事务 成 功率 每 秒 点 击 率 /CB/s) 

10 2.125 2.146 100% 11.4 35 565 

20 2.15 2.323 100% 2 73725 
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续 表 
事务 平均 响应 | 事务 最 大 响应 平均 流量 
并 发 用 户 数 时 间 时 间 事务 成 功率 每 秒 点 击 率 /B/S 
50 2.182 2.483 100% 53.3 165 883 
100 2.515 5.418 100% 102.3 318 843 
(4) 上 传 图 片 


上 传 图 片 的 测试 结果 数据 见 表 9-24。 
表 9-24 上 传 图 片 测试 数据 


查看 日 志 的 测试 结果 数据 见 表 9-25。 
表 9-25 查看 日 志 测 试 数据 


用 例 名 称 上 传 图 片 性 能 测试 用 例 编 号 Performance_Photo 
应 最 应 
并 发 用 户 数 | 事务 平均 响应 | 事务 最 大 响应 | 事务 成 功率 “| 每 秘 点 击 率 | 平均 流量 /(B/s) 
时 间 /s 时 间 /s 
10 2.232 2.258 100% 10.8 36 547 
20 2. 245 么 375 100% 2 71 573 
50 2.262 3.89 100% 49.8 169 615 
100 8.358 16.8 100% 51. 49 173 395 
(5) 查看 日 志 


组 合 业务 的 测试 结果 数据 见 表 9-26 。 
表 9-26 ”组合 业务 测试 用 例 


用 例 名 称 查看 日 志 测 试用 例 用 例 编号 Performance_Readlog 
并 发 用 户 数 ee Be 事务 成 功率 每 秒 点 击 率 ”| 平均 流量 /(B/s) 
时 间 /s 时 间 /s 

10 0.038 0.094 100% 35.9 146 906 

20 0.041 0.097 100% 68.4 280 287 

50 0.958 4.175 100% 105.5 431 173 

100 2.351 10.117 100% 139.6 651 185 

150 2.758 6. 497 100% 69 685 121 

200 8. 892 20.153 100% 149.5 714 327 
(6) 组 合 业务 


用 例 名 称 组 合 业务 测试 用 例 用 例 编号 Performance_ Combination 
采用 LoadRunner 的 VuGen 录制 4 个 业务 : 
业务 1 一 一 登录 个 人 主页 
业务 2 一 一 发 表 日 志 

测试 说 明 业务 3 一 一 阅读 日 志 


业务 4 一 一 在 相册 系统 中 上 传 照片 


为 每 个 业务 分 配 一 定数 目的 用 户 , 利 用 LoadRunner Controller 来 执行 测试 ,收集 测试 
数据 。 其 中 业务 1 占 总 用 户 的 20% ,业务 2 占 总 用 户 的 20%% ,业务 3 占 总 用 户 的 
50% ,业务 4 占 总 用 户 的 10% 
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续 表 
并 发 用 户 数 20 50 100 150 200 
业务 1 L125 1.072 2.720 9. 829 15. 273 
事务 平均 响 业务 2 2. 210 2.152 3. 526 9. 460 12. 402 
应 时 间 /s 业务 3 0. 094 0. 195 0. 482 2.031 3.132 
业务 4 2. 136 2. 306 4. 292 9. 416 12. 411 
业务 1 1. 245 2.170 14. 609 28. 047 30. 23 
事务 最 大 响 业务 2 2.455 2.910 11. 891 22. 845 23. 252 
应 时 间 /s 业务 3 1.536 5.563 11.031 16. 658 19. 271 
业务 4 3. 052 5. 709 13.529 2 217 23. 181 
业务 1 100% 100% 100% 100% 100% 
事务 成 功率 业务 2 100% 100% 100% 100% 100% 
业务 3 100% 100% 100% 100% 100% 
业务 4 100% 100% 100% 100% 100% 
平均 每 秒 点 击 率 1531 1802 1224 1043 813 
平均 每 秒 吞吐 量 3 603 103 4247 112 2 899 250 2 460 011 1 928 609 
% Processor time(CPU) :2 47.3 68.6 57.6 人 
Available M Bytes(Memory) 1164 1194 1175 1145 1130 
Avg. Disk Bytes/Transfer 
和 5420 32 615 24 989 20 198 16 278 
(Physical Disk) 


9.2.5 分 析 测 试 结果 


测试 结果 分 析 就 是 结合 测试 结果 数据 ,分 析出 系统 性 能 行为 表现 的 规律 ,并 准确 定位 系 
统 的 性 能 瓶颈 所 在 。 在 这 个 步骤 里 ,可 以 利用 数学 手段 对 大 批量 数据 进行 计算 和 统计 ,使 结 
果 更 加 具有 客观 性 。 

用 LoadRunner 的 Controller 执行 完 测试 后 ,运行 结果 数据 将 从 各 负载 生成 器 进行 汇 
总 ,产生 性 能 分 析 图 表 。 它 包括 一 些 关 键 性 能 数据 ,如 事务 响应 时 间 、 吞 吐 量 等 。 通 过 
Analysis 模块 的 输出 功能 ,可 方便 地 生成 HTML 、Word 或 者 Crystal 的 报表 ,用 户 可 以 根据 
不 同 的 测试 需求 进行 定制 .分 析 和 再 处 理 。 

Analysis 中 生成 的 测试 结果 摘要 如 图 9-13 所 示 。 

下 面 对 测 试 过 程 中 记录 的 部 分 测试 结果 进行 分 析 。 


1. 50 个 并 发 用 户 


从 前 面 的 测试 结果 数据 可 以 看 出 ,20、50 个 并 发 用 户 时 ,各 事务 的 最 大 响应 时 间 均 在 5s 
以 内 ,事务 成 功率 100% ,满足 系统 的 要 求 。 


2. 100 个 并 发 用 户 


通过 前 面 的 测试 结果 数据 ,可 以 看 出 响应 时 间 有 些 变 长 ,大 多 数 操作 响应 时 间 在 8s 以 
内 ,在 用 户 可 以 接受 的 范围 之 内 ,能 够 达到 系统 预定 目标 。 
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WHP LoadRunner Analysis — Sessionl- Jra 
File Edit View Graph Reports Tools Windows Help 
尚 鸭 芷 间 | 加 让 | 入 | 了 | 纪 和 @| 枚 甸 | 在 叫 


| Seay i | pening Yosers | its per Second | Thr ouehput | Transaction Smnary | herage Transe Response Tine | 


Analysis Summary Period: 2014-9-15 15:04 - 2014-9-15 15:13 


Scenario Name: Scenariol 
Results in Session: C:\Documents and SettingsWdministrator\Local Settings\Temp\res\res.Ir 
Duration: 8 minutes and 49 seconds. 


Statistics Summary 


Maximum Running Vusers: 20 
Total Throughput (bytes): 7,971,536 
Average Throuah ie : 15,041 
Total Hits: 2113 


Average Hits per second: 5.874 


You can define SLA data using the SLA configuration wizard 


You can analyze transaction behavior using the Analyze Transaction mechanism 
Transaction Summary 


Transactions: Total Passed: 79 Total Failed: 0 Total Stopped: 0 Average Response Time 


Transaction Name SIASttus Minimum Average Maximum Std.Deviation 90Percent Pass Fail 
Login S 1.08 1.264 1.556 0.128 1.502 TD 


Service Level Agreement Legend: YPass Bral ONoDats 
HTTP Responses Summary 
HTTP Responses 


HTTP 200 
HITP 201 


View Retries per Second qraph. 
| 


[Dcontroller OutputMessages | 
Conplete aats 机 


图 9-13 测试 结果 


@.3 博客 系统 安全 性 测试 


IBM Rational AppScan 是 一 种 自动 化 Web 应 用 程序 安全 性 测试 引擎 ,能 够 连续 、 自 动 
地 审查 Web 应 用 程序 ,测试 安全 性 问题 ,并 生成 包含 修订 建议 的 行动 报告 .简化 修复 过 程 。 
本 次 博客 系统 的 安全 性 测试 采用 AppSan 工具 。 


9.3.1 创建 扫描 


启动 AppScan, 创 建 Web 安全 扫描 任务 ,选择 Web Application Scan, 单 击 【 下 一 步 3 按 
钮 ,将 弹出 扫描 配置 对 话 框 ,如 图 9-14 所 示 。 

在 Start the scan from this URL 中 ,输入 要 扫描 的 站 点 的 URL。 例如 ,在 本 例 使 用 
LxBlog 系统 进行 安全 测试 ,其 URL 地 址 为 http://192. 168. 1. 10/Blog/index. php。 配 置 
好 后 , 单 击 Next 按钮 ,将 进入 配置 登录 管理 。 
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Scan Configuration Wizard 
URL and Server 9) Starting URL 


Login Management Start the sean Erom this WEL 


Test Policy 


[http://192. 168. 1. 10/ 本 oayindex php 


©) Case-Sensitive Path 


Yeat ll paths as ease-sensitive (Unix, Linux, ete.) 


©) Additional Servers and Domains 
Include the folloring additional servers and domains in this scan: 


General Tasks 
MR Ful scan confiouration 
Wrep 


口 I need te configure dditionsl connectivity settings (proxy, MTTP Authenticstion) 


图 9-14 扫描 配置 对 话 框 


配置 登录 管理 的 对 话 框 如 图 9-15 所 示 。 在 本 例 中 ,选择 Record,AppScan 将 自动 打开 
浏览 器 ,进入 LxBlog 网 站 的 登录 页 面 ,录制 一 段 正确 的 登录 操作 (输入 正确 的 用 户 名 和 密 
码 ) ,然后 关闭 浏览 器 。 在 会 话 信 息 对 话 框 中 ,检查 登录 流程 ,然后 单 击 OK 按钮 。 接 下 来 单 
击 Next 按钮 将 进入 测试 策略 配置 对 话 框 。 


Scan Configuration Wizard 


URL and Servers 七 Login Method 


Vse the folloving methoa to log in to the spplication 


© Recorded (Reconnended) [® Becora Inport 
〇 Erompt 


O hatenatie Leg ia te the spplieation using the follovine login 
sequence: 
One 


http: //192. 168 .1 10/Bloe/index. php 

http://192. 168. 1. 10/Blog/login. php 

http://192. 168.1 10/Blog 

http://192. 168. 1. 10/Blog/ 

http://192. 168. 1_10/Blog/1ogin php?action=quit 
http://192. 168. 1 10/Blo¢ 

http://192. 168.1. 10/Blog/ 


[3 Inrsession detection is active. 


DT want to eonfigure InrSession detection options 


RR Ful scan configuraton i 
reb 


图 9-15 配置 登录 管理 对 话 框 


在 这 一 步 中 需要 检查 扫描 运用 的 测试 策略 ,即使 用 哪 种 扫描 类 别 。 系 统 默 认 执 行 所 有 
非 侵入 性 测试 。 
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9.3.2 执行 扫描 

1. 从 扫描 配置 向 导 启动 扫描 

完成 扫描 配置 向 导 后 ,就 可 以 启动 扫描 。 
2. 从 扫描 菜单 或 工具 栏 启动 扫描 


当 打开 AppScan 时 ,可 以 使 用 当前 配置 从 扫描 菜单 或 工具 栏 来 启动 扫描 。 在 扫描 菜单 
上 ,或 从 工具 栏 上 的 扫描 按钮 中 ,选择 下 列 任 一 操作 。 

(1) 全 面 扫描 : 运行 全 面 扫描 。 继 续 探索 应 用 程序 ,直到 不 再 有 未 访问 的 URL 为 止 ， 
然后 自动 继续 测试 阶段 (如 果 配 置 了 多 阶段 扫描 , 则 根据 需要 完成 多 个 阶段 )。 

(2) 仅 探索 : 探索 应 用 程序 ,但 不 继续 测试 阶段 。 在 继续 测试 阶段 之 前 ,该 操作 允许 先 
检查 探索 结果 ,如 果 需 要 ,会 执行 手动 探索 。 

(3) 仅 测试 : 基于 现 有 探索 结果 来 测试 站 点 。 注 意 : 站 点 已 探索 时 才 是 活动 的 。 

扫描 时 ,进度 栏 和 状态 栏 提供 扫描 的 详细 信息 。 在 处 理 过 程 中 , 窗 格 会 显示 实时 结果 。 
在 执行 Web 安全 扫描 任务 的 过 程 中 ,可 以 随时 查看 已 经 检测 出 的 Web 安全 问题 。 


9.3.3 扫描 结果 


扫描 完成 后 ,结果 将 显示 在 主 窗口 上 。 扫 描 结 果 可 在 3 个 视图 中 显示 : Data( 应 用 程序 
数据 )、Issues( 安 全 问题 )、Tasks( 补 救 任务 )。 默 认为 问题 视图 ,如 图 9-16 所 示 。 


[re J omit ed 


引号 hp/ i581 10/ 避 
人 的) 


Doe 0) 
) 


BD, AppServ index.php Cross- 
Site Scripting (1) 


@ index php http//192.168.1.10/ 


Use he NexyPrewous arrows io navigate through the detalled 
information for indvidual Issues. 


较 tem php 中 
ex php 


图 9-16 问题 视图 
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9.3.4 结果 报告 


AppScan 评估 了 站 点 的 漏洞 后 ,可 生成 针对 组 织 中 各 种 人 员 而 配置 的 定制 报告 ,从 开 


发 者 .内 部 审计 员 安全 测试 员 到 经 理 和 主管 。 工 具 栏 上 的 报告 图 标 使 用 户 可 以 选择 报告 模 
板 , 并 且 设 置 生成 报告 模板 的 内 容 和 布局 。 


应 上 


博客 系统 的 安全 测试 报告 内 容 丰 富 ,其 中 包括 管理 综合 报告 . 按 问 题 类 型 分 类 的 说 明和 
程序 数据 ,各 项 内 容 描 述 详细 ,报告 共 372 页 (详细 内 容 请 查看 书籍 配套 的 电子 资源 )。 


下 面 简要 介绍 博客 系统 安全 测试 报告 中 的 内 容 。 


管理 综合 报告 中 包括 问题 类 型 有 漏洞 的 URL、 修 订 建议 .安全 风险 .原因 和 WASSC 威 


胁 分 类 )。 


(1) 问题 类 型 
博客 系统 的 安全 测试 报告 中 指出 的 问题 类 型 有 28 个 ,如 图 9-17 所 示 。 


国 | ppserv index.php 中 站 脚本 编制 1 
国 :oua 和 2 
国有 | 存储 的 跨 站 点 和 本 编制 2 
国 站 点 朗 本 编 吊 6 
国 己 嫂 密 的 登录 请 求 1 
1 
3 
1. 
1 
1 
1 
1 


7 
低 Apache Multiviews 攻击 3 
低 Coneretes 路 经 流露 

低 Drupal"keys" 路 经 流露 

低 PHP phpinfo.php 信息 港 器 

低 Robots.txt 文 件 Web 站 点 结构 暴 器 

低 发 现 Web 应 用 程序 源 代码 淮 露 模式 36 
低 发 现 数据 库 错误 模式 
低 各 种 基于 PHP 的 应 用 程序 中 的 路 经 流露 2 
低 检测 到 隐藏 目录 9 
低 在 参数 值 中 找到 了 电子 邮件 地 址 模式 1 
低 在 参数 值 中 找到 了 内 部 IP 公 开 模式 2 
低 直接 访问 管理 页 面 1 
低 自动 填写 未 对 密码 字段 禁用 的 HTML 属 性 S 
国 ar 注释 敏 砂 信息 没 路 3 
国 | 发现 电子 邮件 地 址 模式 1 
国 | 发现 可 能 的 服务 回路 经 没 回 模式 9 
国 | 发 现 内 部 IP 没 器 杭 式 1 
国 | 检测 到 HTTP 请 求 转发 (web 代理 ) 1 
国 | 检测 到 应 用 程序 测试 脚本 1 
国有 客户 端 (Jacaseript) Cookie 引 导 1 
国立 用 程序 错误 2 


| 
| 
1 
| 
| 
| 
| 
| 


图 9-17 博客 系统 安全 问题 类 型 


(2) 有 漏洞 的 URL 

博客 系统 中 有 漏洞 的 URL 共 188 条 ,在 此 省 略 。 
(3) 修订 建议 

安全 测试 报告 中 给 出 了 修订 建议 ,具体 内 容 如 下 。 
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(高 ) 查看 危险 字符 注入 的 可 能 解决 方案 ; 

(高 ) 发 送 敏 感 信息 时 ,始终 使 用 SSL 和 POST( 主 体 ) 参 数 ; 

(中 ) 修改 服务 器 配置 以 拒绝 目录 列表 ; 

( 低 ) 除去 HTML 注释 中 的 敏感 信息 ; 

( 低 ) 除去 Web 站 点 中 的 电子 邮件 地 址 ; 

( 低 ) 除去 Web 站 点 中 的 内 部 IP 地 址 ; 

( 低 ) 除去 Web-Server 中 的 源 代码 文件 ; 

( 低 ) 除去 服务 器 中 的 测试 脚本 ; 

( 低 ) 除去 客户 端 中 的 业务 逻辑 和 安全 逻辑 ; 

( 低 ) 从 站 点 中 除去 phpinfo. php 脚本 和 其 他 所 有 缺 省 脚本 ， 

( 低 ) 对 禁止 的 资源 发 布 404 - Not Found 响应 状态 代码 ,或 者 将 其 完全 除去 ; 
( 低 ) 将 autocomplete 属性 正确 设置 为 off; 

( 低 ) 将 服务 器 配置 修改 为 禁用 Multiviews 功能 ; 

( 低 ) 将 敏感 内 容 移 至 隔离 位 置 ,以 避免 Web 机 器 人 搜索 到 此 内 容 ; 

( 低 ) 将 适当 的 授权 应 用 到 管理 脚本 ; 

( 低 ) 禁用 HTTP 请 求 转发 (Web 代理 ) 功 能 ; 

( 低 ) 验证 参数 值 是 否 在 其 预计 范围 和 类 型 内 ,不 要 输出 调试 错误 消息 和 异常 。 
(4) 安全 风险 

博客 系统 安全 测试 报告 中 指出 了 16 条 安全 风险 ,如 图 9-18 所 示 。 


可 能 窃取 或 操纵 客户 会 话 和 cookie， 可 能 用 于 模仿 合法 用 

户 ， 使 黑客 能 够 以 该 用 户 身份 查看 或 变更 用 户 记录 以 及 执行 ” 
可 能 会 查看 、 修 改 或 删除 数据 库 条 目 和 表 S 
可 能 窃取 诸如 用 户 和 密码 等 未 经 加 密 即 发 送 的 用 户 登 录 信息 1 


可 能 会 查看 和 下 载 特定 Web 应 用 程序 虚拟 目录 的 内 容 ， 其 中 
可 能 包含 受 限 文件 
可 能 会 劝说 初级 用 户 提供 诸如 用 户 名 、 密 码 、 信 用 卡号 、 社 3 
会 保险 号 等 敏感 信息 

低 可 能 检索 Web 服务 器 安装 的 绝对 路 径 、 这 可 能 帮助 攻击 者 开 26 
展 进一步 攻击 和 获取 有 关 Web 应 用 程序 文件 系统 结构 的 信息 

低 可 能 会 淮 露 服务 环境 变量 ， 这 可 能 会 帮助 攻击 者 开展 针对 。 1 
Web 应 用 程序 的 进一步 攻击 

低 可 能 会 检索 有 关 站 点 文件 系统 结构 的 信息 ， 这 可 能 会 帮助 攻 
击 者 映射 此 Web 站 点 
可 能 会 检索 服务 器 端 千本 的 源 代码 ， 这 可 能 会 港 露 应 用 程序 
逻辑 及 其 他 诸如 用 户 名 和 密码 之 类 的 敏感 信息 

低 可 能 会 收集 有 关 Web 应 用 程序 的 敏感 信息 ， 如 用 户 名 、 密 码 
、 机 器 名 或 敏感 文件 位 置 
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低 可 能 会 升级 用 户 特权 并 通过 Web 应 用 程序 获取 管理 许可 权 。 1 
低 可 能 会 绕 开 Web 应 用 程序 的 认证 机 制 s 


攻击 者 可 能 用 Web 服 务 器 攻击 其 他 站 点 ， 这 将 增加 其 匿名 性 1 


可 能 会 下 载 临时 脚本 文件 ， 这 会 淮 露 应 用 程序 逻辑 及 其 他 诸 1 
如 用 户 名 和 密码 之 类 的 敏感 信息 

此 攻击 的 最 坏 情形 取决 于 在 客户 端 所 创建 的 cookie 的 上 下 文 
和 角色 


1 


图 9-18 博客 系统 安全 风险 
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(5) 原因 

博客 系统 安全 测试 报告 中 分 析出 了 安全 问题 的 原因 ,其 中 有 13 条 ,内 容 如 下 。 
(高 ) Web 站 点 上 安装 了 没有 已 知 补丁 且 易 受 攻击 的 第 三 方 软件 ; 
(高 ) 未 对 用 户 输入 正确 执行 危险 字符 清理 ; 

(高 ) 诸如 用 户 名 、 密 码 和 信用 卡号 之 类 的 敏感 输入 字段 未 经 加 密 即 进行 了 传递 ; 
(中 ) 已 启用 目录 浏览 ; 

( 低 ) Web 服务 器 或 应 用 程序 服务 器 是 以 不 安全 的 方式 配置 的 ; 
( 低 ) 在 Web 站 点 上 安装 了 缺 省 样本 脚本 或 目录 ; 

( 低 ) 未 安装 第 三 方 产品 的 最 新 补丁 或 最 新 修订 程序 ; 

( 低 ) 在 生产 环境 中 留 下 临时 文件 ; 

( 低 ) 程序 员 在 Web 页 面 上 留 下 调试 信息 ; 

( 低 ) Web 应 用 程序 编程 或 配置 不 安全 ; 

( 低 ) Cookie 是 在 客户 端 创建 的 ; 

( 低 ) 未 对 和 局 参数 值 执行 适当 的 边界 检查 ; 

( 低 ) 未 执行 验证 以 确保 用 户 输入 与 预期 的 数据 类 型 匹配 。 

(6) WASC 威胁 分 类 

博客 系统 安全 测试 报告 中 ,检查 出 了 9 种 安全 威胁 ,分 别 是 : 

OD SQL 注入 ; 

@ 功能 滥用 ; 

@ 可 预测 资源 位 置 ; 

@ 跨 站 点 脚本 编制 ; 

加 目录 索引 ; 

@ 内 容 电 子 欺骗 ; 

Q@ 信息 泄露 ; 

@ 应 用 程序 隐私 测试 ; 

@ 应 用 程序 质量 测试 。 


@.4 博客 系统 兼容 性 测试 


对 于 Web 应 用 ,无 法 预知 用 户 的 客户 端 配置 和 运行 环境 ,所 以 ,做 好 兼容 性 测试 是 非常 
重要 的 。 对 博客 系统 进行 兼容 性 测试 的 具体 内 容 包括 操作 系统 测试 .浏览 器 测试 和 分 辩 率 
测试 。 

最 常见 的 操作 系统 有 Windows、UNIX、Linux 等 ,用 户 常 用 的 浏览 器 有 IE 6. 0、IE 7、 
IE 8、Chrome、Firefox、360 浏览 器 等 。 测 试 浏览 器 兼容 性 的 一 个 方法 是 创建 一 个 兼容 性 矩 
阵 。 测 试 中 创建 的 操作 系统 和 浏览 器 的 兼容 性 测试 矩阵 见 表 9-27 。 

在 对 博客 系统 进行 兼容 性 测试 时 候 .发 现 系统 兼容 性 良好 ,对 于 不 同 的 浏览 器 均 可 正常 
显示 。 相 对 其 他 浏览 器 来 说 ,IE 浏览 器 更 适合 此 博客 系统 。 


表 9-27 ”兼容 性 测试 用 例 
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浏览 器 
操作 系统 

IE8 IE9 IE 10 Chrome Firefox 360 
Windows 7 正常 正常 正常 正常 正常 正常 
Windows XP 正常 正常 正常 正常 正常 正常 
Windows 2003 正常 正常 正常 正常 正常 正常 
UNIX 正常 正常 正常 正常 正常 正常 
Linux 正常 正常 正常 正常 正常 正常 


@.5 博客 系统 界面 测试 
A 


博客 系统 界面 测试 检查 项 及 执行 结果 见 表 9-28。 


表 9-28 用 户 界面 测试 检查 项 


检 查 项 测试 人 员 的 类 别 及 其 评价 

窗口 切换 、 移 动 改变 大 小 时 正常 吗 是 

各 种 界面 元 素 的 文字 正确 吗 是 

各 种 界面 元 素 的 状态 正确 吗 正确 

各 种 界面 元 素 支持 键盘 操作 吗 支持 

各 种 界面 元 素 鼠 标 操作 正确 吗 正确 

对 话 框 中 的 缺 省 焦点 正确 吗 正确 
数据 项 能 正确 回 显 吗 是 

对 于 常用 的 功能 ,用 户 能 否 不 必 阅读 手 册 就 能 使 用 易 用 性 好 
执行 有 风险 的 操作 时 ,有 “确认 ”“ 放 弃 ” 等 提示 吗 是 

操作 顺序 合理 吗 合理 
按钮 排列 合理 吗 合理 
导航 帮助 明确 吗 明确 
提示 信息 规范 吗 规范 

在 不 同 的 浏览 器 下 用 户 界面 的 所 有 元 素 是 否 显示 正常 正常 

在 调整 分 辩 率 的 情况 下 用 户 界面 的 所 有 元 素 显示 是 否 正常 正常 

在 同一 种 浏览 器 下 ,浏览 器 的 版 本 不 同 ,用 户 界面 显示 是 否 正 常 正常 
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LoadRunner 的 使 用 | 


(i0,1 LoadRunner 概述 


10.1.1 LoadRunner 简介 


LoadRunner 是 一 种 预测 系统 行为 和 性 能 的 负载 测试 工具 ,通过 模拟 大 量 用 户 实施 并 
发 负载 及 实时 性 能 监测 来 确认 和 查找 问题 。 通 过 使 用 LoadRunner, 企 业 能 最 大 限度 地 缩短 
测试 时 间 、 优 化 性 能 和 加 速 应 用 系统 的 发 布 周期 。 

LoadRunner 是 一 种 适用 于 各 种 体系 架构 的 负载 测试 工具 , 它 能 预测 系统 行为 并 优化 
系统 性 能 。LoadRunner 的 测试 对 象 是 整个 企业 的 系统 , 它 通 过 模拟 实际 用 户 的 操作 行为 
和 实行 实时 性 能 监测 ,来 帮助 用 户 更 快 地 查找 和 发 现 问题 。 此 外 ,LoadRunner 能 支持 广泛 
的 协议 和 技术 ,为 用 户 的 特殊 环境 提供 特殊 的 解决 方案 。 


1. 轻松 创建 虚拟 用 户 


使 用 LoadRunner 的 Virtual User Generator ,能 简便 地 创立 起 系统 负载 。 该 引擎 能 够 
生成 虚拟 用 户 脚本 ,以 虚拟 用 户 的 方式 模拟 真实 用 户 的 业务 操作 行为 。 它 首先 记录 业务 流 
程 (如 下 订单 或 机 票 预定 ) ,然后 将 其 转化 为 测试 脚本 。 利 用 虚拟 用 户 , 可 以 在 Windows、 
UNIX 或 Linux 机 器 上 同时 产生 成 千 上 万 的 用 户 访问 。 所 以 LoadRunner 能 极 大 地 减少 负 
载 测试 所 需 的 硬件 和 人 力 资源 。 

用 Virtual User Generator 建立 测试 脚本 后 ,可 以 对 其 进行 参数 化 操作 ,这 一 操作 能 用 
实际 数据 测试 应 用 程序 ,从 而 反映 出 系统 的 负载 能 力 。 


2. 创建 真实 的 负载 


virtual users 建立 起 后 ,需要 设 定 负载 方案 .业务 流程 组 合 和 虚拟 用 户 数量 。 用 
LoadRunner 的 Controller, 能 很 快 组 织 起 多 用 户 的 测试 方案 。Controller 的 Rendezvous 功 
能 提供 一 个 互动 的 环境 ,在 其 中 既 能 建立 起 持续 且 循 环 的 负载 ,又 能 管理 和 驱动 负载 测试 
方案 。 

可 以 利用 Conroller 的 日 程 计划 服务 来 定义 用 户 在 什么 时 候 访 问 系 统 以 产生 负载 。 这 
样 , 就 能 将 测试 过 程 自动 化 。 同 样 还 可 以 用 Controller 来 限定 负载 方案 ,在 这 个 方案 中 所 有 
的 用 户 同 时 执行 一 个 动作 来 模拟 峰值 负载 的 情况 。 另 外 ,在 Controller 中 还 能 监测 系统 架 
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构 各 个 组 件 的 性 能 ,包括 服务 器 数据 库 、 网 络 设 备 等 ,来 帮助 客户 决定 系统 的 配置 。 
LoadRunner 通过 其 AutoLoad 技术 ,为 用 户 提供 了 更 多 的 测试 灵活 性 。 使 用 AutoLoad， 
可 以 根据 目前 的 用 户 人 数 事先 设 定 测试 目标 ,优化 测试 流程 。 


3. 定位 性 能 问题 


LoadRunner 内 含 集成 的 实时 监测 器 ,在 负载 测试 过 程 的 任何 时 刻 , 可 以 观察 到 应 用 系 
统 的 运行 性 能 。 这 些 被 动 监测 器 将 实时 显示 交易 性 能 数据 (如 响应 时 间 ) 和 其 他 系统 组 件 
(如 应 用 服务 器 、Web 服务 器 、 数 据 库 、 网 络 设备 等 ) 的 实时 性 能 。 一 旦 测试 完毕 后 ， 
LoadRunner 将 收集 汇总 所 有 的 测试 数据 ,并 提供 高 级 分 析 和 汇报 ,以 便 迅速 查找 到 性 能 问 
题 并 追溯 原由 。 


4. LoadRunner 支持 的 协议 非常 广泛 


LoadRunner 支持 广泛 的 协议 ,其 中 包括 B/S (Http)、C/S (Winsock ,Oracle,DB2,SQL 
Server,Sybase 等 ) ,分 布 式 组 件 (COM/DCOM, CORBA)、Mail(MAPI,SMTP,POP3 等 )、 
Wireless(WAP 等 ) .ERP/CRM(SAP 等 )、VB VU 、Java VU、C VU。 从 7.6 版 本 开始 还 支 
持 多 协议 。 这 比 很 多 性 能 测试 工具 强 ,例如 Webload 仅仅 支持 Web 的 应 用 、OpenSTA 也 
仅仅 支持 Web 的 测试 ,支持 这 么 广泛 的 协议 的 性 能 测试 工具 只 有 LoadRunner。 


10.1.2 LoadRunner 的 组 成 


LoadRunner 主要 由 4 部 分 组 成 ,如 图 10-1 所 示 。 


Load 
Generator 


10-1 LoadRunner 的 架构 图 
1. 脚本 生成 器 


脚本 生成 器 (Virtual User Generator,VuGen) 用 于 创建 脚本 。VuGen 提供 了 基于 录制 
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的 可 视 化 图 形 开 发 环境 ,可 以 方便 简洁 地 生成 用 于 负载 的 性 能 脚本 。VuGen 通过 录制 典型 
最 终 用 户 在 应 用 程序 上 执行 的 操作 来 生成 虚拟 用 户 ( 或 称 Vuser) ,然后 将 这 些 操作 录制 到 
自动 化 Vuser 脚本 中 ,将 其 作为 负载 测试 的 基础 。 


2. 控制 器 


控制 器 (Controller) 是 用 来 设计 、 管 理 和 监控 负载 测试 的 中 央 控 制 台 。 它 负责 对 整个 负 
载 的 过 程 进行 设置 ,指定 负载 的 方式 和 周期 ,同时 提供 了 系统 监控 的 功能 。 使 用 Controller 可 
运行 模拟 真实 用 户 操作 的 脚本 ,并 通过 让 多 个 Vuser 同时 执行 这 些 操作 ,在 系统 上 施加 负载 。 


3. 压力 生成 器 
压力 生成 器 (Load Generator) 负 责 将 VuGen 脚本 复制 成 大 量 虚拟 用 户 对 系统 生成 负载 。 
4. 结果 分 析 工 具 


结果 分 析 工 具 (Analysis) 用 于 分 析 场景 。Analysis 提供 包含 深入 性 能 分 析 信 息 的 图 和 
报告 。 使 用 这 些 图 和 报告 可 以 找 出 并 确定 应 用 程序 的 瓶颈 ,同时 确定 需要 对 系统 进行 哪些 
改进 以 提高 其 性 能 。 


10.1.3 LoadRunner 测试 原理 


1. 用 户 行为 模拟 


进行 性 能 测试 ,必须 模拟 大 量 不 同 用 户 访问 被 测试 系统 ,对 被 测试 系统 产生 一 定 的 用 户 
负载 。 

(1) 不 同 用 户 使 用 不 同 的 数据 

LoadRunner 通过 “参数 化 ”的 方式 实现 不 同 用 户 使 用 不 同 数据 。 例 如 不 同 的 用 户 使 用 
不 同 的 用 户 名 和 密码 登录 系统 ,查看 不 同 的 内 容 。 

(2) 多 用 户 并 发 操作 

在 性 能 测试 中 ,需要 模拟 多 用 户 在 某 个 时 间 点 同时 向 被 测试 程序 发 送 请 求 ( 多 用 户 并 发 
操作 ) ,LoadRunner 通过 “集合 点 ”的 方式 实现 。 

(3) 请 求 间 的 延 时 

对 于 同一 个 业务 功能 ,不 同 用 户 的 操作 时 间 是 不 同 的 ,请 求 和 响应 的 时 间 也 不 同 ,为 了 
模拟 这 种 情况 ,LoadRunner 通过 “思考 时 间 ” 来 实现 。 

(4) 用 户 请 求 间 的 依赖 关系 

LoadRunner 通过 “关联 "来 实现 用 户 请 求 间 的 依赖 关系 。 


2. 性 能 指标 监控 


在 运行 中 需要 监控 各 项 性 能 指标 .并 分 析 指 标的 正确 性 。 

(1) 请 求 响应 时 间 监 控 

为 了 更 准确 地 监控 某 项 业务 的 性 能 ,LoadRunner 通过 “事务 ”的 方式 来 监控 请 求 响 应 
时 间 。 
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(2) 服务 器 处 理 能 力 监 控 

服务 器 处 理 能 力 的 一 个 重要 表现 就 是 吞吐 量 ,LoadRunner 通过 “事务 ”计算 吞吐 量 。 

(3) 服务 器 资源 利用 率 监控 

为 了 监控 服务 器 资源 利用 率 ,LoadRunner 提供 全 面 简 洁 的 计数 器 接口 ,可 以 方便 、 准 
确 地 获取 各 项 性 能 指标 。 


3. 性 能 调 优 
通过 指标 的 监控 发 现 系统 存在 的 性 能 缺陷 ,利用 分 析 工 具 定 位 并 修正 性 能 问题 。 
10.1.4 LoadRunner 测试 流程 


性 能 测试 一 般 包 括 5 个 阶段 : 规划 测试 ,创建 脚本 ,定义 场景 ,执行 场景 和 分 析 结果 ,如 
图 10-2 所 示 。 


规划 性 能 


测试 执行 场景 


图 10-2 LoadRunner 测试 流程 


(1) 规划 性 能 测试 

定义 性 能 测试 要 求 , 例 如 并 发 用 户 数 量 、 典 型 业务 流程 和 要 求 的 响应 时 间 。 制 定 完 整 的 
测试 计划 、 定 义 明确 的 测试 任务 将 确保 制定 的 方案 能 完成 测试 目标 。 

(2) 创建 Vuser 脚本 

使 用 Virtual User Generator (VuGen) 录 制 最 终 用 户 活动 ( 即 捕获 在 应 用 程序 上 执行 的 
典型 用 户 业 务 流程 ) ,生成 测试 脚本 ,以 便 在 执行 性 能 测试 时 能 以 虚拟 用 户 的 方式 模拟 真实 
用 户 的 业务 操作 行为 。 利 用 虚拟 用 户 ,可 以 模拟 产生 成 千 上 万 个 用 户 访问 。 

(3) 定义 场景 

在 LoadRunner Controller 中 ,定义 测试 期 间 发 生 的 事件 ,设置 负载 测试 环境 .业务 流程 
组 合 和 虚拟 用 户 数量 。 

(4) 执行 场景 

使 用 LoadRunner Controller 运行 .管理 并 监控 负载 测试 。 在 负载 测试 过 程 中 ,LoadRunner 
自 带 的 监测 器 可 以 随时 观察 到 应 用 系统 的 运行 性 能 。 这 些 性 能 监测 器 实时 显示 性 能 数据 
(如 响应 时 间 ) 和 其 他 系统 组 件 ,包括 应 用 服务 器 、Web 服务 器 和 数据 库 等 的 实时 性 能 。 这 
样 ,可 以 在 测试 过 程 中 从 客户 和 服务 器 双方 面 评估 这 些 系统 组 件 的 运行 性 能 。 

(5) 分 析 结 果 

使 用 LoadRunner Analysis 分 析 在 负载 测试 期 间 生 成 的 性 能 数据 ,创建 图 和 报告 ,评估 
系统 性 能 ,以 便 迅 速 查找 到 性 能 问题 并 追溯 原由 。 


(i0,2 脚本 生成 器 


虚拟 用 户 脚 本 生成 器 可 以 方便 简洁 地 生成 用 于 负载 的 测试 脚本 。LoadRunner 启动 以 
后 ,在 任务 栏 中 会 有 一 个 Agent 进程 ,通过 Agent 进程 ,监视 各 种 协议 的 Client 与 Server 端 
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的 通信 ,用 LoadRunner 的 一 套 C 语言 函数 来 录制 脚本 ,然后 LoadRunner 调用 这 些 脚 本 向 
服务 器 端 发 出 请 求 ,接受 服务 器 的 响应 。 


10.2.1 创建 脚本 


创建 负载 测试 的 第 一 步 是 使 用 VuGen 录制 典型 最 终 用 户 业 务 流程 。VuGen 以 “录制 - 
回放 ”的 方式 工作 。 在 应 用 程序 中 执行 业务 流程 步骤 时 ,VuGen 会 将 用 户 的 操作 录制 到 自 
动 化 脚本 中 ,并 将 其 作为 负载 测试 的 基础 。 


1. 启动 LoadRunner 


选择 【开始 一 【程序 ->HP LoadRunner 一 Applications 习 Virtual User Generator, 打 开 
VuGen 窗口 。 


2. 创建 测试 脚本 


在 VuGen 起 始 页 , 单 击 File>New 按钮 。 将 打开 新 建 虚拟 用 户 对 话 框 ,其 中 显示 了 新 
建 单 协 议 脚 本 屏幕 。 协 议 是 客户 端 用 来 与 系统 后 端 进行 通信 的 语言 。 如 果 要 测试 一 个 网 
站 ,将 创建 一 个 Web 虚拟 用 户 脚本 。 

在 Category 中 选择 All Protocols( 所 有 协议 ),VuGen 将 列 出 适用 于 单 协议 脚本 的 所 有 
可 用 协议 。 向 下 滚动 列表 ,选择 Web (HTTP/HTML) ,如 图 10-3 所 示 。 


Wew Yirtual User 


New Single Protocol Script 
Category :| Al Protocols ed 


丽 smple Mai Protocol [SMTP} 
国 Teminal Emulation [RTE) 


Web [HTTP/HTML) 
入 Web Services 
证 windows Sockets 


between a Flash 
application and an application server over HTTP. 


Ceese |] cree | 


图 10-3 协议 选择 框 


注 : 在 多 协议 脚本 中 ,高 级 用 户 可 以 在 一 个 录制 会 话 期 间 录 制 多 个 协议 。 在 本 例 中 将 
创建 一 个 Web 类 型 的 协议 脚本 。 录 制 其 他 类 型 的 单 协议 或 多 协议 脚本 的 过 程 与 录制 Web 
脚本 的 过 程 类 似 。 

单 击 Create 按钮 ,弹出 Start Recording 设置 对 话 框 ,如 图 10-4 所 示 。 
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Start Recording 


Application type: [Intemet Applications = 


Working directory: |C: \Frogr om Files\HF\LoadRunner\bin\ 


Becord nto Actione [Action 了 New. 


克 Record the application startup 


oo. ee | 


图 10-4 Start Recording 设置 对 话 框 


在 URL Address 中 输入 待 测试 网 站 的 地 址 , 单 击 OK 按钮 ,此 时 LoadRunner 将 自动 
打开 IE 浏览 器 ,并 进入 到 要 测试 的 网 站 , 当 用 户 在 网 站 中 操作 业务 功能 时 ,LoadRunner 将 
以 脚本 的 方式 记录 用 户 的 每 一 步 操 作 。 操 作 完 成 后 , 单 击 Stop 按钮 (或 者 按 Ctrl 十 F5 键 )， 
LoadRunner 将 停止 录制 ,并 生成 测试 脚本 。 

VuGen 的 录制 工具 条 如 图 10-5 所 示 。 


Recording... (136 events). 


开 运 信和 暂 编 插 插 添 
始 行 止 集 详 入 入 加 
录 脚 录 录 事 集 注 
制 本 制 制 务 合 释 


图 10-5 录制 工具 条 
3. 查看 脚本 


在 VuGen 中 查看 已 录制 的 脚本 ,有 树 视图 和 脚本 视图 两 种 方式 。 

(1) 树 视图 

树 视图 是 一 种 基于 图 标的 视图 ,将 Vuser 的 操作 以 步骤 的 形式 列 出 ,而 脚本 视图 是 一 
种 基于 文本 的 视图 ,将 Vuser 的 操作 以 函数 的 形式 列 出 。 要 在 树 视图 中 查看 脚本 , 需 在 菜 
单 栏 中 选择 View 一 Tree View ,或 者 单 击 工具 栏 上 的 Tree 按钮 。 对 于 录制 期 间 执 行 的 每 个 
步骤 ,VuGen 在 脚本 树 中 为 其 生成 一 个 图 标 和 一 个 标题 。 

在 树 视图 中 将 看 到 以 脚本 步骤 的 形式 显示 的 用 户 操 作 。 大 多 数 步 又 都 附带 相应 的 录制 
快照 ,如 图 10-6 所 示 。 窗 口 的 左边 是 脚本 树 ,右边 是 快照 视图 。 

(2) 脚本 视图 

脚本 视图 是 一 种 基于 文本 的 视图 ,以 API 函数 的 形式 列 出 Vuser 的 操作 。 要 在 脚本 视 
图 中 查看 脚本 , 需 选择 View 一 Script View 视图 ,或 者 单 击 工具 栏 上 的 [脚本 按钮。 在 脚本 
视图 中 ,VuGen 在 编辑 器 中 显示 脚本 .并 用 不 同 颜 色 表示 函数 及 其 参数 值 ,如 图 10-7 所 示 。 
用 户 可 以 在 窗口 中 直接 输入 C 或 LoadRunner API 函数 以 及 控制 流 语句 。 
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四 到 Virtual User Generator - [BlogLogin - ¥eb (HITP/HTHL)] 


回 [Om wie | rr We | 沪 Grid 

量 岂 hction0 Snapshot 

电 Serviee: Add Cookie 

电 Service: had Cookie 
DO Wl: index. php 

凡 Think Tine - 14 (sec) 

Submit Form: login php 

时 Service: Add Cookie 

晤 mim Time - 10 (sec) 

轨 Link: 注销 


回 
目 


Web_add_cookie( “3d2ec_lastvisit=1770%091392527607%09%2FE1og%2Find 


web_add_cookie(“342ec_cknum=BARYAwQEVFAHADowCAdUU] JWAwIFAVNSUlMPU 


web_url (“index. php”, 
“URL=http://192. 168. 1. 10/Blog/index. php”, 
Resource=0 ， 
“RecContentType=text/htnl”, 
站 Referer= ， 
上 Te 下 TR 


For Help, press FL. 


图 10-7 脚本 视图 
4. URL mode 和 HTML mode 


在 录制 之 前 ,可 以 设置 录制 选项 。 在 Start Recording 设置 对 话 框 ( 图 10-4) 中 单 击 
Options 按钮 ,将 弹出 Recording Options 对 话 框 ,也 可 以 通过 菜单 栏 的 Tools-~Recording 
Options 打开 对 话 框 ,如 图 10-8 所 示 。 

在 默认 情况 下 ,选择 HTML-based script, 脚 本 采用 HTML 页 面 的 形式 来 表示 ,这 种 方 
式 的 Script 脚本 容易 维护 ,容易 理解 ,推荐 以 这 种 方式 录制 。 

URL-based script 脚本 采用 基于 URL 的 方式 ,所 有 的 HTTP 请 求 都 会 被 录制 下 来 , 单 
独 生 成 函数 ,所 以 URL 模式 生成 的 脚本 会 显得 有 些 杂乱 。 

选择 HTML 还 是 URL 录制 ,有 以 下 参考 原则 。 

(1) 基于 浏览 器 的 应 用 程序 推荐 使 用 HTML-based script。 
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Ee HTTP/HTML Level — 
hecording| 
Data Fomat Extension (HTML-based script HTML Advanced.. 
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UBLbased script 


图 10-8 录制 设置 选项 


(2) 不 是 基于 浏览 器 的 应 用 程序 推荐 使 用 URL-based script。 

(3) 如 果 基 于 浏览 器 的 应 用 程序 中 包含 JavaScript 并 且 该 脚本 向 服务 器 产生 了 请 求 ， 
例如 DataGrid 的 分 页 按钮 等 ,也 要 使 用 URL-based script 方式 录制 。 

(4) 基于 浏览 器 的 应 用 程序 中 使 用 了 HTTPS 安全 协议 ,使 用 URL-based script 方式 
录制 。 

录制 脚本 的 基本 原则 : 

(1) 脚本 越 小 越 好 。 

(2) 选择 使 用 频率 最 高 的 。 

(3) 选择 所 需要 测试 的 业务 进行 录制 。 


10.2.2 回放 脚本 


通过 录制 一 系列 典型 用 户 操 作 ,模拟 真实 用 户 操作 。 将 录制 的 脚本 合并 到 负载 测试 场 
景 之 前 ,需要 回放 此 脚本 以 验证 其 是 否 能 够 正常 运行 。 回 放 过 程 中 ,可 以 在 浏览 器 中 查看 操 
作 并 检验 是 否 一 切 正常 。 如 果 脚 本 不 能 正常 回放 ,可 能 需要 加 关联 。 

1. 运行 时 设置 


通过 LoadRunner 运行 时 设置 ,可 以 模拟 各 种 真实 用 户 活 动 和 行为 。 例 如 ,可 以 模拟 一 
个 对 服务 器 输出 立即 做 出 响应 的 用 户 , 也 可 以 模拟 一 个 先 停 下 来 思考 ,再 做 出 响应 的 用 户 。 
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另外 还 可 以 配置 运行 时 设置 来 指定 Vuser 应 该 重复 一 系列 操作 的 次 数 和 频率 。 
有 一 般 运行 时 设置 和 专门 针对 某 些 Vuser 类 型 的 设置 。 下 面 介 绍 一 般 运 行 时 设置 。 
(1) 打开 运行 时 设置 对 话 框 。 
按 F4 键 或 单 击 菜单 栏 中 的 Vuser>Run-Time Setings 按钮 ,这 时 将 打开 运行 时 设置 对 
话 框 ,如 图 10-9 所 示 。 


Run-time Settings 


-Generat Run Logic 
lteration Count 


口 Number of lterations: [1 习 


Addiional athibutes 
Miscellaneous 
Netwaork 
Speed Simulation 
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Browser Emulation 
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Prowy 
Preferences 
Download Fiters 
ContentCheck 
Data Format Extension 
Configuration 


PB user_end 


Hint 
Move the mouse over any item to see is description. 


Use Defauls Cancel Help 


图 10-9 运行 的 设置 


(2) 设置 “运行 逻辑 ”。 
在 左 窗 格 中 选择 Run Logic 节点 ,将 打开 运行 逻辑 设置 界面 ,如 图 10-9 的 右边 窗 格 所 
示 。 此 时 可 设置 迭代 次 数 或 连续 重复 活动 的 次 数 ,例如 将 迭代 次 数 设置 为 3。 
(3) 配置 “ 步 ” 设 置 。 
在 左 窗 格 中 选择 Pacing 节点 ,将 打开 步 的 设置 界面 ,如 图 10-10 所 示 。 
Generat Pacing 


Statt new lteration 
三 As soon as the previous fleration ends 


三 After the previous iteration ends: 


Wihalised =) delayof jao00 习 ~ 
在 是 [andm =| intervals, eveyJs000P to mm se 


(provided that the previous iteration ends by that ime] 


图 10-10 步 的 设置 界面 
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此 节点 用 于 控制 迭代 时 间 间 隔 。 可 以 指定 一 个 随机 时 间 , 这 样 可 以 准确 模拟 用 户 在 操 
作 之 间 等 待 的 实际 时 间 。 选 择 第 三 个 单 选 按钮 并 选择 下 列 设置 : 时 间 为 random( 随 机 ), 间 
隔 为 60. 000 到 90. 000 秒 。 

(4) 配置 "日志 ?设置 。 

在 左 窗 格 中 选择 Log 节点 ,将 打开 日 志 设 置 界面 ,如 图 10-11 所 示 。 日 志 设置 指出 要 在 
运行 测试 期 间 记 录 的 信息 量 。 


Generat Log 
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图 10-11 日 志 设置 
(5) 查看 “思考 时 间 ” 设 置 。 
在 左 窗 格 中 选择 Think Time 节点 ,将 打开 思考 时 间 设 置 界面 ,如 图 10-12 所 示 。 


~ Generat Think Time 
Think Time options 


lonore think time 
他 Beplay think ime 
CAsrecorded 
广 Munpy recorded think time by 「 本 
Userandom percentage of recorded think ime] 
Mn: 后。 本 > Mg: 本 


SLimit think imetc |1 过 seconds 


图 10-12 思考 时 间 的 设置 


我 们 也 可 以 在 Controller 中 设置 思考 时 间 。 注 意 , 在 VuGen 中 运行 脚本 时 速度 很 快 ， 
因为 它 不 包含 思考 时 间 。 
(6) 单 击 【 确 定 ] 按 钮 关闭 运行 时 设置 对 话 框 。 


2. 执行 脚本 
单 击 工具 条 上 的 Run 按钮 ,或 者 按 F5 键 ,运行 脚本 。 
3. 查看 脚本 运行 情况 


(1) 查看 概要 信息 
运行 过 程 中 ,可 以 看 到 每 一 个 Action 的 执行 过 程 。 当 脚本 停止 运行 后 ,可 以 在 向 导 中 
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查看 关于 这 次 回放 的 概要 信息 。 查 看 回放 概要 的 具体 操作 是 : 单 击 工具 栏 上 的 Tasks 图 
标 ,然后 选择 Replay 一 Verify Replay, 脚 本 回放 之 后 将 弹出 回放 概要 对 话 框 , 如 图 10-13 
所 示 。 


Last Replay Summary 


Result Directory: resultl 


Replay Status: No errors detected 

ATTENTION: No runtime errors were detected. However, you should make sure the 
busineee Prooen wins roplnyecd ore PY and Pn 
snapshots in the right par 


Dynamic Server Values (Correlations): 


VuGen detected one or more dynamic values in your script. 

You may encounter problems during replay f the server expects Unique values that 
differ from the recorded ones. It recommended that You correlate these values. 
Learn more about correlati 

You can view a list of the eri values that VuGen detected. 

Show and resolve dynamic server values 


Verification: 


To check whether or nat the replay accurately emulates your recorded session, 
compare the Replay and Recorded snapshots in the right pane, 


图 10-13 ”回放 概要 


回放 概要 窗口 列 出 检测 到 的 所 有 错误 ,并 显示 录制 和 回放 快照 的 缩 略 图 。 通 过 比较 快 
照 , 找 出 录制 的 内 容 和 回放 的 内 容 之 间 的 差异 。 也 可 以 通过 复查 事件 的 文本 概要 来 查看 
Vuszr 操作 。 输 出 窗口 中 VuGen 的 Replay log 选项 卡 用 不 同 的 颜色 显示 这 些 信息 。 

(2) 查看 测试 结果 

要 查看 测试 结果 ,执行 下 列 操作 : 在 菜单 栏 上 选择 View 一 Test Results, 这 时 将 打开 测 
试 结果 窗口 ,如 图 10-14 所 示 。 

测试 结果 窗口 首次 打开 时 包含 两 个 窗 格 : 树 窗 格 ( 左 侧 ) 和 概要 窗 格 ( 右 侧 )。 树 窗 格 包 
含 结 果树 ,每 次 迭代 都 会 进行 编号 。 概 要 窗 格 包含 关于 测试 的 详细 信息 。 

在 概要 窗 格 中 ,上 方 指出 哪些 迭代 通过 了 测试 ,哪些 未 通过 。 如 果 VuGen 的 Vuser 按 
照 原来 录制 的 操作 成 功 执行 所 有 操作 , 则 认为 测试 通过 。 在 概要 窗 格 中 ,下 方 指出 哪些 事务 
和 检查 点 通过 了 测试 ,哪些 未 通过 。 

在 树 窗 格 中 ,可 以 展开 测试 树 并 分 别 查看 每 一 步 的 结果 。 概 要 窗 格 将 显示 迭代 期 间 的 
回放 快照 。 

在 树 视图 中 展开 迭代 节点 ,然后 单 击 加 号 (十 ) 展 开 左 窗 格 中 的 Action 概要 节点 。 展 
开 的 节点 将 显示 这 次 迭代 中 执行 的 一 系列 步骤 。 选 择 一 个 页 面 节点 ,概要 窗 格 上 半 部 分 
将 显示 步骤 概要 信息 ,包括 对 象 或 步骤 名 、 关 于 页 面 加 载 是 否 成 功 的 详细 信息 、 结 果 ( 通 
过 、 失 败 、 完 成 或 警告 ) 以 及 步骤 执行 时 间 ; 概要 窗 格 下 半 部 分 将 显示 与 该 步 又 相关 的 回 
放 快 照 。 
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请 Login - Test Results 


Login Results Summary 


Test: Login 
Results name: resultl 

Time Zone: 中 国标 准时 间 

Run started: 2014.2.16 - 22:53:16 
Ran ended: 2014.2.16 -22.5407 


Iteration # 


图 10-14 测试 结果 


(3) 搜索 测试 结果 

我 们 可 以 使 用 关键 字 通 过 或 失败 搜索 测试 结果 。 此 操作 非常 有 用 ,例如 当 整 个 结果 概 
要 表明 测试 失败 时 ,可 以 确定 失败 的 位 置 。 要 搜索 测试 结果 ,选择 Tool 习 Find, 或 者 单 击 
Find 按钮 。 这 时 将 打开 查找 对 话 框 , 如 图 10-15 所 示 。 

选择 Passed 复 选 框 , 确 保 未 选择 其 他 选项 ,然后 单 击 Find Next 按钮 。 树 窗 格 突出 显 
示 第 一 个 状态 为 通过 的 步骤 。 

(4) 筛选 结果 

可 以 筛选 树 窗 格 来 显示 特定 的 迭代 或 状态 。 例 如 ,可 以 进行 筛选 以 便 仅 显示 失败 状态 。 
要 筛选 结果 ,选择 View 一 Filters, 或 者 单 击 Filters 按钮 。 这 时 将 打开 筛选 器 对 话 框 ,如 
图 10-16 所 示 。 


“uy 
Fromiteration | 刁 to | 刁 
Sa 一 一 
Mial 厂 Weamngo 厂 Pas TT Donel 
Content 
Lo | 


Show only actions 


Lo | _ ce | re | 


图 10-15 查找 对 话 框 图 10-16 ”筛选 器 对 话 框 
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在 状态 部 分 选择 Fail, 不 选择 其 他 选项 。 在 内 容 部 分 选择 All 并 单 击 OK 按钮 。 因 为 
没有 失败 的 结果 ,所 以 左 窗 格 为 空 。 
关闭 测试 结果 窗口 。 


4. 查看 日 志 


在 录制 和 回放 的 时 候 ,VuGen 会 分 别 把 发 生 的 事件 记录 成 日 志文 件 ,这 些 日 志 有 利于 
跟踪 VuGen 和 服务 器 的 交互 过 程 。 可 以 通过 VuGen 输出 窗口 观察 日 志 , 也 可 以 到 脚本 目 
录 中 直接 查看 文件 。 其 中 有 如 下 三 个 主要 的 日 志 对 录制 很 有 用 。 

(1) 执行 日 志 (Replay Log) 

脚本 运行 时 的 输出 都 记 在 Replay Log 里 。Replay Log 显示 的 消息 用 于 描述 Vuser 运 
行 时 执行 的 操作 ,该 信息 可 说 明 在 方案 中 执行 脚本 时 ,该 脚本 的 运行 方式 。 

脚本 执行 完成 后 ,检查 Replay Log 中 的 消息 ,以 查看 脚本 在 运行 时 是 否 发 生 错误 。 

Replay Log 中 使 用 了 不 同 颜 色 的 文本 。 

| 黑色 : 标准 输出 消息 。 

四 红色 : 标准 错误 消息 。 

@ 绿色 : 用 引号 括 起 来 的 文字 字符 串 ( 例 如 URL) 。 

@ 黄色 : 事务 信息 (开始 、 结 束 、 状 态 和 持续 时 间 )。 

如 果 双 击 以 操作 名 开始 的 行 ,光标 将 会 跳 到 生成 的 脚本 中 的 相应 步骤 上 。 

图 10-17 显示 了 Web Vuser 脚本 运行 时 的 Replay Log 消息 。 执 行 日 志 是 调试 脚本 时 
最 有 用 的 信息 。 
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nding action vuser_init. 

ing Vuser., 

tarting an Action。 

ction. c(6) : web_add_cookie was successful [MsgId: MMSG-26392] 
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图 10-17 VuGen 脚本 执行 日 志 


(2) 录制 日 志 (Recording Log) 

录制 脚本 时 ,VuGen 会 拦截 客户 端 (浏览 器 ) 与 服务 器 之 间 的 对 话 , 并 且 全 部 记录 下 来 ， 
产生 脚本 。 在 Recording Log 中 ,可 以 找到 浏览 器 与 服务 器 之 间 所 有 的 对 话 , 包 含 通信 内 
容 \ 日 期 \ 时 间 、 浏 览 器 的 请 求 .服务 器 的 响应 内 容 等 ,如 图 10-18 所 示 。 

脚本 和 Recording Log 最 大 的 差别 在 于 ,脚本 只 记录 了 Client 端 要 对 Server 端 所 说 的 
话 ,而 Recording Log 则 是 完整 记录 二 者 的 对 话 。 因 此 通过 录制 日 志 , 能 够 更 加 清楚 地 看 到 
客户 端 与 服务 器 的 交互 ,这 对 开发 和 调试 脚本 非常 有 帮助 。 

(3) 生成 日 志 (Generation Log) 

生成 日 志 记 录 了 脚本 录制 的 设置 .网 络 事件 到 脚本 函数 的 转化 过 程 。 
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国 ReplayLog | | 加 RecordingLog | 各 ConelationResuls | 守 GenerationLog 对 


[Network Analyzer (176c:1174)] Address lookup for 20131124-2112 = 192.168.1 轿 
(176¢: bd Request Connection: Renote Server @ 192.168. 2 

: e4)] “GET /Blog/index.php” 

和 26] (sid: 1) Client -> Server : 422 bytes (Se: 

: e4)] (Sid: 1) Server -> Client : 7300 bytes ( 

: e4)] (Sid: 1) Server -> Client : 1549 bytes ( 

: ed)] “GET ‘Bleeds/elobal, js” 

: e4)] (sid: 1) Client -> Server : 470 bytes (Se 

: ed)] (sid: 1) Server -> Client : 6278 bytes ( 
ed “GET ， /Blog/1nage/default/1ogo. gif” 图 


图 10-18 VuGen 脚本 录制 日 志 


需要 注意 的 是 ,脚本 能 正常 运行 后 应 禁用 日 志 , 因 为 产生 及 写 人 日 志 需 占用 一 定 资源 。 
10.2.3 增强 脚本 


1. Transaction( 事 务 ) 


在 LoadRunner 里 ,定义 事务 主要 是 为 了 度量 服务 器 的 性 能 。 每 个 事务 度量 服务 器 响 

应 指定 的 Vuser 请 求 所 用 的 时 间 ,这 些 请 求 可 以 是 简单 任务 ,也 可 以 是 复杂 任务 。 要 度量 

事务 ,需要 插入 Vuser 函数 以 标记 任务 的 开始 和 结束 。 在 脚本 内 ,可 以 标记 的 事务 不 受 数 
量 限 制 ,每 个 事务 的 名 称 都 不 同 。 

在 场景 执行 期 间 ,Controller 将 度量 执行 每 个 事务 所 用 的 时 间 。 场 景 运行 后 ,可 使 用 
LoadRunner 的 图 和 报告 来 分 析 各 个 事务 的 服务 器 性 能 。LoadRunner 允许 在 脚本 中 插入 
不 限 数量 的 事务 。 

插入 事务 操作 可 在 录制 过 程 中 进行 ,也 可 在 录制 结束 后 进行 。 设 置 事务 的 方法 如 下 。 

(1) 选择 新 事务 的 开始 点 , 单 击 工具 栏 上 的 Insert Start Transaction 按钮 陶 ,弹出 
Start Transaction 对 话 框 ,输入 事务 名 称 , 将 在 脚本 中 增加 一 条 语句 : lr_start_transaction 
("事务 名 称 ")。 

(2) 选择 新 事务 的 结束 点 , 单 击 工具 栏 上 的 Insert End Transaction 按钮 名 ,将 弹出 
End Transaction 对 话 框 ,事务 名 称 已 经 存在 (与 事务 开始 点 的 名 称 一 致 ), 此 时 将 在 脚本 中 
增加 一 条 语句 : lr_end_transaction(" 事 务 名 称 ", LR_AUTO)。 

例如 录制 一 个 登录 网 站 的 动作 。 登 录 前 填 好 用 户 名 和 密码 ,在 单 击 【登录 】 按 钮 之 前 设 
置 事务 起 始点 Login, 在 单 击 【 登 录 ] 按 钮 后 .页面 完 全 显示 后 ,再 设置 事务 结束 点 Login, 这 
样 一 个 Login 的 事务 就 设置 完成 了 ,生成 的 脚本 如 下 。 


1r_start transaction("Login"); 
web_submit_data("login. php", 
"Action= http://192.168.1.10/Blog/login. php", 
"Method = POST", 


1r_end transaction("Login", LR_AUTO); 
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提示 : Transaction 的 开始 点 和 结束 点 必须 在 一 个 Action 中 ,跨越 多 个 Action 是 不 允 
许 的 。Transaction 的 名 字 在 脚本 中 必须 是 唯一 的 ,当然 也 包括 在 多 Action 的 脚本 中 。 

可 以 在 一 个 Transaction 中 创建 另外 一 个 Transaction ,叫做 Nested Transaction。 详 细 
使 用 方法 可 参看 LoadRunner 函数 手册 。 


2. Rendezvous Point( 集 合 点 /同步 点 ) 


要 在 系统 上 模拟 大 量 的 用 户 负 载 ,需要 集合 各 个 Vuser 以 便 在 同一 时 刻 执 行 任务 。 通 
过 创建 集合 点 ,可 以 确保 多 个 Vuser 同时 执行 操作 。 当 某 个 Vuser 到 达 该 集合 点 时 ， 
Controller 会 将 其 保留 ,直到 参与 该 集合 的 全 部 Vuser 都 到 达 。 当 满足 集合 条 件 时 ， 
Controller 将 释放 Vuser。 

可 通过 将 集合 点 插入 到 Vuser 脚本 中 来 指定 会 合 位置。 在 Vuser 执行 脚本 并 遇 到 集 
合 点 时 ,脚本 将 暂停 执行 ,Vuser 将 等 待 Controller 允许 继续 执行 。Vuser 从 集合 释放 后 ,将 
执行 脚本 中 的 下 一 个 任务 。 

在 脚本 中 插入 集合 点 的 方法 是 : 单 击 菜单 中 的 Insert 一 Rendezvous, 或 者 单 击 工具 栏 
上 的 党 按钮 ,将 弹出 插入 集合 点 对 话 框 ,如 图 10-19 所 示 。 


Rendezvous 回国 


C9 Rendezvous Name: | 
Se 


Cw ]_ cma | 


图 10-19 插入 集合 点 对 话 框 


输入 集合 点 名 称 , 单 击 OK 按钮 ,此 时 脚本 中 将 增加 一 条 语句 : lr_rendezvous(" 集 合 点 
名 称 ")。 

注意 : 只 能 在 Action 中 添加 集合 点 (不 能 在 vuser_init/vuser_end 中 添加 )。 由 于 同步 
点 是 协调 多 个 虚拟 用 户 的 并 发 操作 ,因此 只 有 在 Controller 中 多 用 户 并 发 场景 时 ,同步 点 的 
意义 才能 表现 出 来 。 


3. Think Time( 思 考 时 间 ) 


用 户 在 执行 两 个 连续 操作 期 间 等 待 的 时 间 称 为 思考 时 间 。Vuser 使 用 lr_think_time 
函数 模拟 用 户 思考 时 间 。 录 制 Vuser 脚本 时 ,Vugen 将 录制 实际 的 思考 时 间 和 相应 的 lr_ 
think_time 语句 插入 到 Vuser 脚本 。 可 以 编辑 已 录制 的 lr_think_time 语句 ,而 且 可 以 向 
Vuser 脚本 中 手动 添加 更 多 的 lr_think_time 语句 。 

lr_think_time 的 参数 单位 是 秒 , 例 如 lr_think_tim(5) 意 味 着 LoadRunner 执行 到 此 条 
语句 时 ,停留 5 秒 , 然 后 再 继续 执行 后 面 的 语句 。 

在 Run-time Settings 中 可 以 设置 思考 时 间 。 如 果 不 想 在 脚本 中 执行 Think Time 语 
句 ,直接 忽略 Think Time, 而 不 用 修改 脚本 。 


4. Parameters( 参 数 化 ) 


数据 驱动 就 是 把 测试 脚本 和 测试 数据 分 离开 来 的 一 种 思想 ,脚本 体现 测试 流程 ,数据 体 
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现 测试 案例 。 数 据 不 是 在 hard-code 脚本 里 面 ,这 样 大 大 提高 了 脚本 的 可 复 用 性 。 而 
LoadRunner 的 参数 化 功能 是 数据 驱动 测试 思想 的 一 个 重要 实现 。 

(1) 为 什么 需要 参数 化 

在 录制 程序 运行 的 过 程 中 ,Vugen( 脚 本 生成 器 ) 自 动 生成 了 脚本 以 及 录制 过 程 中 实际 
用 到 的 数据 。 在 这 个 时 候 , 脚 本 和 数据 是 混在 一 起 的 。 

例如 ,录制 一 个 用 户 登 录 Web 网 站 的 过 程 ,对 于 登录 的 操作 ,脚本 中 将 记录 登录 的 用 户 
名 和 密码 。 当 Controller 里 以 多 用 户 方式 运行 这 个 脚本 时 ,每 个 虚拟 用 户 都 会 以 同样 的 用 
户 名 和 密码 登录 这 个 网 站 。 这 样 将 无 法 模拟 一 个 真实 的 业务 场景 。 尤 其 现在 服务 器 大 多 会 
采用 Cache 功能 提高 系统 性 能 ,用 同样 的 用 户 名 /密码 登录 系统 的 Cache 命中 率 会 很 高 ,也 
要 快 得 多 。 

因此 ,客户 希望 当 用 LoadRunner 多 用 户 多 循环 运行 时 ,不 要 只 是 重复 一 个 用 户 的 登 
录 。 也 就 是 说 ,把 这 些 数 据 用 一 个 参数 来 代 蔡 ,其 实 就 是 把 常量 变 成 变量 。 

参数 化 后 ,用 户 名 被 一 个 参数 蔡 换 ,密码 被 另外 一 个 参数 代替 。 脚 本 运行 时 ,用 户 名 和 
密码 的 值 从 参数 中 获得 。 

除了 实现 数据 驱动 之 外 ,参数 化 脚本 还 有 以 下 两 个 优点 。 

Q@ 可 以 使 脚本 的 长 度 变 短 。 

@ 可 以 增强 脚本 的 可 读 性 和 可 维护 性 。 

实际 上 ,参数 化 的 过 程 如 下 。 

a 在 脚本 中 用 参数 取代 常量 值 。 

@ 设置 参数 的 属性 以 及 数据 源 。 

(2) 参数 的 创建 

VU 可 以 通过 Tree View 和 Script View 两 种 途径 来 查看 脚本 ,我 们 可 以 在 基于 文本 的 
脚本 视图 中 参数 化 。 

@ 将 光标 定位 在 要 参数 化 的 字符 上 , 右 击 , 弹 出 快捷 菜单 ,如 图 10-20 所 示 。 

在 弹出 菜单 中 ,选择 Replace with a Parameter, 选 择 或 者 创建 参数 对 话 框 ,如 图 10-21 
所 示 。 


Go to Step in Replay Log 


JInsert » Select or Create Paraneter z| 区 | 


司 | Toogie Breakpont Fe Paamelenane: [TEE] 二 
Parameter type: [Fie 司 


Open Script Directory 


Dionalvaue [mm 
Use Existing Parameter | 
Bopand/cobpse Care | Peperies. 


图 10-20 脚本 参数 化 之 右键 选择 替代 参数 图 10-21 脚本 参数 化 之 设 定 参数 名 字 和 类 型 
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在 Parameter name 中 输入 参数 的 名 称 ,或 者 选择 一 个 在 参数 列表 中 已 经 存在 的 参数 。 
在 Parameter type 下 拉 列 表 中 选择 参数 类 型 。 

在 定义 参数 属性 的 时 候 , 要 指定 参数 值 的 数据 源 。 我 们 可 以 指定 下 列 数据 源 类 型 中 的 
任何 一 种 。 

Data Files: 这 是 最 常 使 用 的 一 种 参数 类 型 , 它 的 数据 存在 文件 中 。 该 文件 的 内 容 可 以 
手工 添加 ,也 可 以 利用 LoadRunner 的 Data Wizard 从 数据 库 中 导出 。 

User-Defined Functions: 调用 外 部 DLL 函数 生成 的 数据 。 

Internal Data: 虚拟 用 户 内 部 产生 的 数据 。 

Internal Data 包括 以 下 几 种 类 型 。 

。 Date/Time: 用 当前 的 日 期 /时 间 蔡 换 参 数 。 要 指定 一 个 Date/Time 格式 ,可 以 从 菜 
单列 表 中 选择 格式 ,或 者 指定 自己 的 格式 。 这 个 格式 应 该 和 脚本 中 录制 的 Date/ 
Time 格式 保持 一 致 。 

Group Name: 用 虚拟 用 户 组 名 称 替 换 参 数 。 在 创建 scenario 的 时 候 , 可 以 指定 虚拟 
用 户 组 的 名 称 。 注 意 , 当 从 VU 运行 脚本 的 时 候 ,虚拟 用 户 组 名 称 总 是 None。 

Load Generator Name: 用 脚本 负载 生成 器 的 名 称 蔡 换 参数 ,负载 生成 器 是 虚拟 用 户 
在 运行 的 计算 机 。 

Iteration Number: 用 当前 的 迭代 数目 替换 参数 。 

Random Number: 用 一 个 随机 数 蔡 换 参 数 。 通 过 指定 最 大 值 和 最 小 值 来 设置 随机 
数 的 范围 。 

Unique Number: 用 一 个 唯一 的 数字 来 蔡 换 参数 ,可 以 指定 一 个 起 始 数 字 和 一 个 块 
的 大 小 。 使 用 该 参数 类 型 必须 注意 可 以 接受 的 最 大 数 。 

Vuser ID: 用 分 配给 虚拟 用 户 的 ID 替换 参数 ,ID 是 由 LoadRunner 的 控制 器 在 
scenario 运行 时 生成 的 。 如 果 从 脚本 生成 器 运行 脚本 的 话 ,虚拟 用 户 的 ID 总 是 
= 

输入 参数 名 ,选择 好 参数 类 型 后 , 单 击 OK 按钮 ,关闭 该 对 话 框 。 脚 本 生成 器 便 会 用 参 
数 中 的 值 来 取代 脚本 中 被 参数 化 的 字符 ,参数 名 用 一 对 花 括号 “{}” 括 住 。 

@ 用 同样 的 参数 蔡 换 字符 的 其 余 情 况 。 选 中 参数 右 击 ,在 弹出 的 菜单 中 选择 Replace 
more occurrences ,打开 搜索 和 替换 对 话 框 。Find What 中 显示 了 想 要 替换 的 值 , Replace 
With 中 显示 了 括号 中 参数 的 名 称 。 选 择 适 当 的 检验 框 来 匹配 整个 字符 或 者 大 小 写 ,然后 单 
击 Replace 或 者 Replace All 按钮 。 

提示 : 小 心 使 用 Replace All, 尤 其 蔡 换 数字 字符 串 的 时 候 。 脚 本 生成 器 将 会 蔡 换 字符 
出 现 的 所 有 情况 。 

@ 用 以 前 定义 过 的 参数 来 替换 常量 字符 串 的 情况 。 选 中 常量 字符 串 右 击 ,然后 选择 
Use existing parameters, 从 弹出 的 子 菜单 中 选择 参数 ,或 者 用 Select from Parameter List 
来 打开 参数 列表 对 话 框 。 用 以 前 定义 过 的 参数 来 替换 常量 字符 串 ,使 用 此 方法 非常 方便 , 同 
时 还 可 以 查看 和 修改 该 参数 的 属性 。 

加 对 于 已 经 用 参数 蔡 换 过 的 地 方 , 如 果 想 取 回 原来 的 值 , 可 以 在 参数 上 右 击 ,然后 选择 
Restore Original value, 即 可 取 回 原来 的 值 。 

提示 : LoadRunner 给 我 们 提供 了 一 种 很 方便 的 机 制 去 参数 化 。 但 这 种 机 制 的 应 用 范 
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围 是 有 限 的 ,只 有 函数 的 参数 才能 参数 化 ,不 能 参数 化 非 函 数 参 数 的 数据 。 同 时 ,不 是 所 有 
函数 的 参数 都 能 参数 化 。 

对 于 不 能 使 用 上 面 机 制 参数 化 的 数据 ,可 以 在 Vuser 脚本 的 任何 地 方 使 用 lr_eval_ 
string 来 参数 化 数据 。lr_eval_string 用 来 得 到 一 个 参数 的 值 , 而 参数 可 以 预先 在 
LoadRunner 的 Parameter List 里 定义 好 ,也 可 以 是 之 前 通过 其 他 函数 创建 的 。lr_eval_ 
string 的 详细 使 用 方法 可 参见 LoadRunner 函数 手册 。 

(3) 定义 参数 的 属性 

创建 参数 完成 后 ,就 可 以 定义 其 属性 了 。 参 数 的 属性 定义 就 是 在 脚本 执行 过 程 中 ,定义 
参数 使 用 的 数据 源 。 在 Web 用 户 脚 本 中 , 既 可 以 在 基于 文本 的 脚本 视图 中 定义 参数 属性 ， 
也 可 以 在 基于 图 标的 树 视图 中 定义 参数 属性 。 

@ 使 用 参数 列表 

使 用 参数 列表 可 以 在 任意 时 刻 查看 所 有 的 参数 、 创 建新 的 参数 .删除 参数 ,或 者 修改 已 
经 存在 参数 的 属性 。 单 击 工具 条 上 的 【参数 列表 】 按 钮 或 者 选择 菜单 栏 上 的 Vuser 一 
Parameter List, 打 开 参 数列 表 对 话 框 ,如 图 10-22 所 示 。 


[| 


MA NowPesam Parameter bgpe [Fie 了 


《ny NewParam_1 
<D> NewParam_2 
<oy UserName Rile [userywmeCD dat 


BddCoumn.. | AddBow. | Dasecam 


UserNane 


in 


EdtwihNotepad. | DataWizard.. Simulate Parameter. 


Select colunn File format 

全 By nomber: |! 习 [tm [Conms = 
rm: [7 irst dats 『 当 
Sequential 

Update value or [Each teration 


Select next row: 


图 10-22 参数 列表 


要 创建 新 的 参数 , 单 击 左下 方 的 New 按钮 .新 的 参数 则 被 添加 在 参数 树 中 ,该 参数 有 一 
个 临时 的 名 字 , 可 以 给 它 重新 命名 ,然后 回 车 。 要 删除 已 有 的 参数 ,首先 要 从 参数 树 中 选择 
该 参数 , 单 击 Delete 按钮 ,然后 确认 即 可 。 要 修改 已 有 的 参数 ,首先 要 从 参数 树 中 选择 该 参 
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数 ,然后 编辑 参数 的 类 型 和 属性 。 

@ 数据 文件 

数据 文件 包含 脚本 执行 过 程 中 虚拟 用 户 访问 的 数据 。 局 部 和 全 局 文件 中 都 可 以 存储 数 
据 。 可 以 指定 现 有 的 ASCII 文件 .用 脚本 生成 器 创建 一 个 新 的 文件 或 者 引入 一 个 数据 库 。 
数据 文件 中 的 数据 是 以 表 的 形式 存储 的 。 一 个 文件 中 可 以 包含 很 多 参数 值 。 每 一 列 包 含 一 
个 参数 的 数据 , 列 之 间 用 分 隔 符 隔 开 , 例 如 用 逗号 。 

如 果 使 用 文件 作为 参数 的 数据 源 , 必 须 指定 以 下 内 容 : 文件 的 名 称 和 位 置 . 包 含 数据 的 
列 .文件 格式 .包括 列 的 分 隔 符 、 更 新 方法 。 

如 果 参 数 的 类 型 是 File, 打 开 Parameter Properties 对 话 框 ,设置 文件 属性 如 下 。 

在 File 输入 框 中 输入 文件 的 位 置 ,或 者 单 击 Browse 按钮 指定 一 个 已 有 文件 的 位 置 。 
在 默认 情况 下 ,所 有 新 的 数据 文件 名 都 是 “参数 名 . dat”。 需 要 注意 的 是 数据 文件 的 后 组 必 
须 是 . dat。 

单 击 Edit With Notepad 按钮 ,打开 记事 本 ,里 面 第 一 行 是 参数 的 名 称 , 第 二 行 是 参数 
的 初始 值 。 使 用 诸如 逗号 之 类 的 分 隔 符 将 列 隔 开 。 对 于 每 一 个 新 的 表 开始 一 行 新 的 数据 。 

@ 设置 参数 的 属性 

在 脚本 视图 中 ,选中 参数 名 右 击 , 弹 出 快捷 菜单 ,选择 Parameter Properties ,将 弹出 参 
数 属性 对 话 框 , 如 图 10-23 所 示 。 


转 Paraaeter Properties - [Pass¥ord] 
Parameter type: [Fie = 


File eparam dat 了 browse 
Add Bow... | Delete Colurmr Jelete Row, 


PassWord 


Simulate Parameter . 
File format 
由 1 刁 村 [Conma = 


First data 


Fasstord 了 


图 10-23 参数 属性 设置 对 话 框 
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单 击 Add Column 按钮 ,打开 Add new column 对 话 框 。 输 入 新 列 的 名 称 , 单 击 OK 按 
钮 ,脚本 生成 器 就 会 将 该 列 添加 到 表 中 ,并 显示 该 列 的 初始 值 。 

单 击 Add Row 按钮 ,将 在 数据 表 中 增加 一 行 ,可 以 在 表 中 输入 数据 。 

Select column: 指明 选择 参数 数据 的 列 。 可 以 指定 By number( 列 号 ) 或 者 By name( 列 
名 )。 列 号 是 包含 所 需要 数据 的 列 的 索引 ; 列 名 显示 在 每 列 的 第 一 行 (row 0) 。 

File format: 选择 列 分 隔 符 。 可 以 指定 Comma( 逗 号)、Tab、Space( 空 格 ) 作 为 列 的 分 
隔 符 。 

First data: 在 脚本 执行 的 时 候选 择 第 一 行 数 据 使 用 。 列 标题 是 第 0 行 , 若 从 列 标题 后 
面 的 第 一 行 开始 ,就 在 First data 中 输入 1; 如 果 没 有 列 标题 ,就 输入 0。 

Select next row: 输入 更 新 方法 ,以 说 明 虚 拟 用 户 在 获取 第 一 行 数据 后 ,下 一 行 数据 按 
照 什么 规则 来 取 。 在 Select next row 中 可 以 选择 顺序 的 (Sequential) ,随机 的 (Random) 、 唯 
一 的 (Unique) ,或 者 与 其 他 参数 相同 的 行 (Same Line as. . ) 。 

。 Sequential( 顺 序 ): 顺序 地 给 虚拟 用 户 分 配 参 数值 。 正 在 运行 的 虚拟 用 户 访问 数据 

表 时 , 它 会 取 到 下 一 行 中 可 用 的 数据 。 也 就 是 说 ,虚拟 用 户 脚本 运行 时 按照 数据 表 
的 顺序 一 个 一 个 地 取 , 取 了 第 一 行 再 取 第 二 行 , 取 了 第 二 行 再 取 第 三 行 ,以 此 类 推 。 
如 果 参 数 表 里 的 数据 都 取 一 遍 了 ,就 回 到 第 一 行 ,重新 开始 顺序 地 取 数 据 。 

。 Random( 随 机 ) : 在 每 次 迭代 的 时 候 会 从 数据 表 中 随机 取 一 个 数据 。 例 如 当前 参数 
表 中 有 100 行 数据 ,那么 随机 数 就 从 1 一 100 之 间 任 取 一 个 ,然后 作为 行 号 ,去 取 相 
应 行 的 参数 数据 。 

。 Unique( 唯 一 ) : 分 配 一 个 唯一 的 (有 顺序 的 分 配 ) 数 据 给 每 个 虚拟 用 户 的 参数 。 如 
果 有 100 行 数 据 ,只 能 取 100 次 。 如 果 第 101 个 用 户 来 取 , 则 没有 数据 了 ， 
LoadRunner 会 报错 ,提示 数据 不 够 用 。 

。 Same Line As 所 parameter 二 (与 以 前 定义 的 参数 取 同 一 行 ): 该 方法 从 与 以 前 定义 
过 的 参数 中 同样 的 一 行 分 配 数据 ,但 必须 指定 包含 有 该 数据 的 列 。 在 下 拉 列 表 中 会 
出 现 定义 过 的 所 有 参数 列表 。 注 意 ,至 少 其 中 的 一 个 参数 必须 是 Sequential、 
Random 或 者 Unique。 

例如 ,数据 表 中 有 3 列 ,3 个 参数 定义 在 列表 中 : ID、Username 和 Password, 如 表 10-1 
所 示 。 


表 10-1 参数 数据 表 


ID Username Password 
1001 admin 12abc89 
1002 lihai 1289fg 


1003 wanghua hf12679a 


对 于 参数 ID ,可 以 指示 虚拟 用 户 使 用 Random 方法 ,而 为 参数 Username 和 Password 
就 可 以 指定 方法 Same Line as ID。 所 以 .一 旦 ID1002 被 使 用 ,那么 ,Username “lihai” 和 
Password“1289fg? 就 同时 被 使 用 。 

Updtae value on: 指定 数据 的 更 新 方法 。 对 应 参数 表 的 读 取 规 则 来 说 ,上 面 的 Select 
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next row 指 的 是 怎么 取 新 值 (是 顺序 还 是 随机 等 ) ,而 Update value on 指 的 是 什么 时 候 取 新 
值 。LoadRunner 中 有 以 下 几 种 取 新 值 的 策略 。 

。 Each iteration: 每 次 迭代 时 取 新 值 (在 同一 个 迭代 中 ,无 论 读 几 次 参数 ,获得 的 都 是 

同一 个 参数 值 ) 。 
。 Each occurrence: 只 要 取 一 次 ,就 要 新 的 (在 同一 个 迭代 中 , 读 一 次 参数 ,就 要 取 其 新 
值 ,而 新 值 由 Select next row 来 规定 ) 。 

。 Once: 在 所 有 的 循环 中 都 使 用 同一 个 值 ( 只 取 一 次 ,也 就 是 说 ,这 个 参数 只 有 一 个 值 ) 。 

When out of values: 指出 超出 范围 时 的 处 理 方式 (选择 数据 为 Unique 时 才 会 用 到 ) 。 

。 Abort Vuser: 中 止 虚拟 用 户 。 

。 Continue in a cyclic manner: 继续 循环 取 值 。 
Continue with last value: 取 最 后 一 个 值 。 
Allocate Vuser values in the Controller: 在 控制 器 中 分 配 虚 拟 用 户 的 值 。 

。 Automatically allocate block size: 自动 分 配 。 

。 Allocate values for each Vuser: 为 每 一 个 虚拟 用 户 指 定 一 个 值 。 

例如 , 某 场 景 需求 : 50 个 不 同 的 用 户 以 各 自 的 用 户 名 和 密码 登录 到 博客 网 站 ,然后 每 
个 用 户 发 表 10 个 不 同 标题 的 日 志 , 最 后 退出 系统 。 参 数 表 该 如 何 设计 呢 ? 根据 要 求 ,在 此 场 
景 中 ,至 少 需要 三 个 参数 : username、password 和 title, 分 别 存储 用 户 名 、 密 码 和 标题 。 其 中 
username 参数 包含 50 条 记录 ,password 参数 包含 50 条 记录 ,keyword 参数 包含 50X 10 一 
500 条 记录 。 脚 本 结构 设计 中 ,可 以 把 登录 的 操作 放 在 vuser_init 中 ,发 表 日 志 的 操作 放 在 
Action 中 ,和 迭代 设 为 10 次 ,退出 操作 放 在 vuser_end 中 。 在 参数 表 中 做 如 下 设置 。 


(1) username 


Select next row 设 为 Unique( 或 Sequential) ; 

Update value on 设 为 Each iteration。 

(2) password 

Select next row 设 为 Same Line as username( 保 证 username 和 password 一 一 对 应 ); 
Update value on 设置 与 username 相同 。 

(3) title 

Select next row 设 为 Unique( 或 Sequential) ; 

Update value on 设 为 Each iteration 。 


5. Check point( 检 查 点 ) 


LoadRunner 的 很 多 API 函数 的 返回 值 会 改变 脚本 的 运行 结果 。 例 如 web_find 函数 ， 
如 果 它 查找 匹配 的 结果 为 空 , 它 的 返回 值 就 是 LR_FAIL, 整 个 脚本 的 运行 结果 也 将 置 为 
FAIL; 反之 ,查找 匹配 成 功 , 则 web_find 返回 值 是 LR_PASS, 整 个 脚本 的 运行 结果 置 为 
PASS。 而 脚本 的 结果 则 反应 在 Controller 的 状态 面板 上 和 Analysis 统计 结果 中 。 但 仅仅 
通过 脚本 函数 执行 结果 无 法 判断 整个 脚本 的 成 功 或 失败 。 因 为 脚本 一 般 是 执行 一 个 业务 流 
程 ,VU 脚本 函数 本 身 是 协议 级 的 . 它 执行 的 失败 会 引起 整个 业务 的 失败 ,但 它 运 行 成 功 却 
未 必 意 味 着 业务 会 成 功 。 例 如 ,要 测 100 人 登录 一 个 Web 网 站 ,此 Web 网 站 有 限制 , 即 不 
允许 使 用 同一 个 IP 登录 两 个 用 户 。 如 果 LoadRunner 没有 开启 多 IP 欺骗 功能 ,第 一 个 虚 
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拟 用 户 登 录 成 功 后 ,第 二 个 虚拟 用 户 试图 登录 ,系统 将 返回 一 个 页 面 ,提示 用 户 “ 您 已 登录 ， 
请 不 要 重复 登录 !”。 在 这 种 场景 下 ,如 果 没 有 设 检查 点 来 判断 这 个 页 面 ,那么 虚拟 用 户 
(VU) 认 为 它 已 经 成 功 地 发 送 了 请 求 , 并 接 到 了 页 面 结果 (http 状态 码 为 200, 虽 然 是 个 错误 
页 面 )。 这 样 VU 就 认为 这 个 动作 是 成 功 的 ,但 事实 并 非 如 此 。 因 此 需要 采用 检查 点 来 判 
断 结 果 。 

检查 点 (Check Point) 的 作用 是 验证 程序 的 运行 结果 是 否 与 预期 结果 相符 。 在 进行 压 
力 测试 时 ,为 了 检查 Web 服务 器 返回 的 网 页 是 否 正 确 ,VuGen 允许 插入 Text/Imag 检查 
点 ,这 些 检 查 点 将 验证 网 页 上 是 否 存在 指定 的 Text 或 者 Imag, 还 可 以 在 比较 大 的 压力 测试 
环境 中 测试 被 测 的 网 站 功能 是 否 保持 正确 。 

(1) 添加 文本 检查 点 (Text Check) 

在 树 视 图 中 ,选中 要 插入 检查 点 的 节点 右 击 , 在 快捷 菜单 中 选择 Insert After 或 者 
Insert Before, 将 弹出 如 图 10-24 所 示 的 对 话 框 。 


Add Step 


fr Custom Request 
网 Start Transaction 


图 10-24 添加 检查 点 
选择 Text Check, 单 击 OK 按钮 ,将 弹出 文本 检查 点 属性 框 ,如 图 10-25 所 示 。 


Text Check Properties 


General Specification 


[95 
MA 
Search Paraneters — 


suchtor 国 


厂 Bight of 画 
厂 Left of 加 | 


图 10-25 文本 检查 点 属性 框 
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在 Search for 中 输入 要 查找 的 字符 串 。 为 了 更 好 地 定位 要 查找 的 字符 串 的 位 置 ,可 以 
勾 选 Right of ,并 输入 要 查找 的 字符 串 的 左边 的 内 容 ; 或 匀 选 Left of ,并 输入 要 查找 的 字符 
串 的 右边 的 内 容 。 单 击 General 将 弹出 available properties 设置 窗口 ,对 文本 检查 点 进行 更 
详细 的 设置 。 设 置 好 后 , 单 击 OK 按钮 ,Vuser 脚本 中 将 增加 下 列 语句 。 文 本 检查 点 的 功能 
由 web_find 函数 来 实现 。 


web_find("web_find", 
"RightOf = (", 
"LeftOf = )", 
"What = admin", 
LAST); 


在 本 例 中 ,web_find 函数 在 网 页 中 搜索 关键 字 *“admin”。 有 关 web_find 函数 的 各 个 参 
数 的 含义 以 及 使 用 方法 ,可 参看 LoadRunner 的 函数 手册 。 

(2) 添加 图 像 检查 点 (Image Check) 

图 像 检查 点 的 功能 由 web_image_check 实现 。 添 加 图 像 检 查 点 的 步骤 与 添加 文本 检 
查 点 的 步骤 类 似 ,在 此 不 再 详 述 。 

设置 检查 点 时 需 注意 : 

Oa 检查 的 内 容 必 须 是 验证 事务 通过 与 否 的 充分 必要 条 件 。 

@ 检查 点 可 以 是 常量 ,也 可 以 是 变量 。 

@ 检查 点 可 以 是 文本 、 图 像 文 件 ,也 可 以 是 数据 库 记录 等 。 


6. Comment( 注 释 ) 


写 脚本 和 写 程 序 一 样 , 应 该 养 成 经 常 写 注释 的 习惯 。 在 LoadRunner C 脚本 中 ， 
LoadRunner 支持 C 的 注释 方法 。 在 脚本 视图 中 ,在 需要 插入 注释 的 地 方 右 击 ,弹出 快捷 菜 
单 ,选择 Insert 一 Comment, 将 弹出 添加 注释 对 话 框 ,如 图 10-26 所 示 。 在 文本 框 中 输入 要 
添加 的 注释 内 容 , 然 后 单 击 OK 按钮 即 可 。 


Insert Comnent 


图 10-26 添加 注释 对 话 框 
7. Correlation( 关 联 ) 


关联 是 把 脚本 中 某 些 写 死 的 (hard-coded) 数 据 ,转变 成 是 搬 取 自 服务 器 所 送 的 动态 
的 、 每 次 都 不 一 样 的 数据 。 

VuGen 提供 两 种 方式 做 关联 : 自动 关联 和 手动 关联 。 有 关 关 联 的 相关 内 容 , 请 查阅 
LoadRunner 使 用 指南 。 


Web 应 用 程序 测试 


(i0,3 控制 器 


控制 器 是 设计 与 执行 性 能 测试 用 例 场 景 的 组 件 。 在 VuGen 中 完成 的 虚拟 用 户 脚 本 调 
试 后 ,就 可 以 将 其 添加 到 Controller 中 来 创建 场景 。 在 Controller 中 完成 虚拟 用 户 的 数量 
与 行为 等 场景 设置 后 ,就 可 以 运行 场景 来 产生 压力 。 

在 场景 运行 过 程 中 ,Controller 可 以 提供 对 服务 器 资源 .虚拟 用 户 执行 情况 .事务 响应 
时 间 等 方面 的 监控 ,帮助 测试 人 员 分 析 系 统 状态 ,并 在 运行 完毕 给 出 结果 以 便 进一步 分 析 。 


10.3.1 设计 场景 


1. 打开 Controller 


选择 【开始 】 一 【程序 】 一 HPLoadRunner 一 Applications 一 Controller, 将 打开 
LoadRunner Controller。 上 默认 情况 下 ,Controller 打开 时 将 显示 新 建 场景 对 话 框 ,如 图 10-27 
所 示 。 


Jew Scenario 


-Select Scenario Type 
他 Manual Scenario 
Manage your load lest by specilying the number of vitual users to run 
厂 Use the Percentage Mode to distibute the Vusers among the scripts 


GoatDriented Scenario 
Allow LoadRunner Controlle to create a scenario based on the goals you specily 


三 Select the scriptls] you would like to use in your scenafio 
Available Sctipts 


图 10-27 新建 场景 
2. 选择 场景 类 型 


使 用 Controller 可 以 选择 不 同 的 场景 类 型 ,其 中 包括 Manual Scenario( 手 动 场景 ) 和 
Goal-Oriented Scenario( 面 向 目标 的 场景 ) 。 

(1) Manual Scenario : 完全 手动 的 设置 场景 。 

(2) Goal-Oriented Scenario: 如 果 测 试 计划 是 要 达到 某 个 性 能 指标 ,例如 每 秒 多 少 点 
击 、 每 秒 多 少 transactions、 能 达到 多 少 VU 、 某 个 Transaction 在 某 个 范围 VU(500 一 1000) 
内 的 响应 时 间 等 ,那么 就 可 以 使 用 面向 目标 的 场景 。 在 面向 目标 场景 中 , 先 定义 测试 要 达到 
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的 目标 ,然后 LoadRunner 自动 基于 这 些 目 标 创建 场景 ,运行 过 程 中 不 断 将 运行 结果 和 目标 
相 比 较 , 以 决定 下 一 步 怎 么 做 。 


3. 添加 脚本 


选择 手工 场景 ,添加 脚本 到 场景 中 。 在 打开 Controller 之 前 ,如 果 已 经 录制 了 一 些 虚拟 
用 户 脚 本 ,此 时 就 可 以 在 图 10-27 左下 部 的 Available Scripts 框 中 看 到 可 用 的 虚拟 用 户 脚 
本 。 选 中 要 使 用 的 脚本 , 单 击 Add 按钮 ,可 以 把 脚本 加 入 到 要 测试 的 场景 中 。 

单 击 OK 按钮 ,LoadRunner Controller 将 打开 场景 设计 窗口 ,如 图 10-28 所 示 。 


[ey no Ares mre tened or 
bar 和 nc SLA cerie i yest hond est 


人 Scenario FC Gromp 


(Rel-woridschedule Basic scheddle 


Fr 


图 10-28 场景 设计 


Controller 的 场景 设计 窗口 中 包含 三 个 主要 部 分 : 场景 计划 、 场 景 组 和 服务 水 平 协议 。 

(1) 场景 组 窗 格 

在 场景 组 部 分 配置 Vuser 组 。 创 建 不 同 的 组 来 代表 系统 的 典型 用 户 。 在 这 里 可 以 定 
义 典 型 用 户 将 执行 的 操作 、 运 行 的 Vuser 数 和 运行 场景 时 所 用 的 计算 机 。 

(2) 场景 计划 窗 格 

在 场景 计划 部 分 ,设置 负载 行为 以 准确 模拟 用 户 行为 。 在 这 里 可 以 确定 在 应 用 程序 上 
施加 负载 的 频率 、 负 载 测 试 的 持续 时 间 以 及 负载 的 停止 方式 。 

(3) 服务 水 平 协议 窗 格 

设计 负载 测试 场景 时 .可 以 为 性 能 指标 定义 目标 值 或 服务 水 平 协议 (SLA)。 运 行 场景 
时 ,LoadRunner 收集 并 存储 与 性 能 相关 的 数据 。 分 析 运 行情 况 时 ,Analysis 将 这 些 数据 与 
SLA 进行 比较 ,并 为 预先 定义 的 测量 指标 确定 SLA 状态 。 


4. 配置 负载 生成 器 


LoadRunner 可 以 使 用 多 个 Load Generator, 并 在 每 个 Load Generator 上 运行 多 个 
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Vuser 来 产生 重负 载 。 运 行 场景 时 ,Controller 自动 连接 到 Load Generator, 启 动 进程 或 线 
程 执行 虚拟 用 户 脚本 。 在 场景 组 窗 格 中 , 单 击 Load Generators 的 下 拉 列 表 框 ,选中 Add， 
将 弹出 Add New Load Generator 对 话 框 ,如 图 10-29 所 示 。 在 Name 中 输入 负载 机 (用 于 
运行 虚拟 用 户 脚本 的 计算 机 ) 的 IP 地 址 或 者 计算 机 名 称 ,如 果 是 本 机 ,可 输入 localhost。 


Scenario Groups 


CELEEEl 


Temporary drectory: [ 


WS Enable load generator to take patt in the scenario 


图 10-29 添加 负载 生成 器 


单 击 工具 栏 上 的 Load Generators 按钮 允 ,或 者 单 击 菜单 栏 中 的 Scenario 司 Load 
Generators ,将 弹出 负载 机 设置 对 话 框 ,如 图 10-30 所 示 。 选 中 负载 机 ,然后 单 击 Connect 按 
钮 ,连接 好 负载 机 后 ,其 Status 属性 将 由 Down 变 为 Ready。 单 击 Add 按钮 ,可 以 添加 新 的 
负载 机 。 如 果 不 想 连接 某 个 负载 机 ,可 以 单 击 Delete 按钮 删除 此 负载 机 。 


图 10-30 查看 负载 生成 器 


5. 模拟 真实 负载 


典型 用 户 不 会 正好 同时 登录 和 退出 系统 。 利 用 Controller 窗口 的 场景 计划 窗 格 ,可 创 
建 能 更 准确 模拟 典型 用 户 行为 的 场景 计划 。 例 如 ,创建 手动 场景 后 ,可 以 设置 场景 的 持续 时 
间或 选择 逐渐 运行 和 停止 场景 中 的 Vuser。 

(1) 选择 计划 类 型 和 运行 模式 

在 场景 计划 窗 格 中 ,选择 计划 方式 为 Scenario( 场 景 ) .运行 模式 为 Real-word schedule 
(实际 计划 ) 。 
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(2) 设置 计划 操作 定义 
如 图 10-31 所 示 ,可 设置 计划 操作 定义 。 
Global Schedule 
功臣 族人 | 国 |Total: 20 Yosers 
Action | Properies 


Initialize Initialize each Yuser just before it runs 


Start Vusers Start 20 yasers: 2 every 00:00:15 Om:MM:SS) 


Rn for 00:05:00 OD-MN:SS) 
Stop all Vusers; 5 every 00:00:30 OW:MM:SS) 


图 10-31 制定 场景 计划 


设置 Vuser 初始 化 

在 Action 网 格 中 双击 Initialize, 即 初始 化 。 这 时 将 打开 Edit Action 对 话 框 ,显示 初始 
化 操作 ,如 图 10-32 所 示 。 可 供 选择 的 内 容 如 下 。 

。 同时 初始 化 所 有 Vuser; 

。 每 隔 多 长 时 间 (HH:MM:SS) 初 始 化 多 少 个 Vuser; 

。 Vuser 运行 之 前 对 其 进行 初始 化 。 


Edit Action 


Action type Initialize 


© Initialire each Vuser just before it runs 


Canecel Apply 


图 10-32 初始 化 设置 


@ 指定 启动 方式 
LoadRunner 中 场景 启动 方式 有 两 种 : 逐步 加 压 模式 和 瞬间 并 发 模式 。 
。 逐步 加 压 模 式 : 通常 情况 下 ,为 了 真实 地 模拟 用 户 业 务 情况 有 效 地 衡量 服务 器 性 
能 ,大 多 数 会 采用 逐步 加 压 、 持 续 施 压 、 逐 步 减 压 的 方式 启动 场景 。 

。 瞬间 并 发 模式 : 如 果 是 单 测 并 发 数 , 则 在 场景 中 直接 设计 若干 个 (例如 1000 个 ) 并 发 
进行 业务 操作 ,无 需 设置 逐步 加 压 、 持 续 施 压 、 逐 步 减 压 的 过 程 , 以 此 方法 达到 瞬间 
的 并 发 测试 效果 。 

在 Action 网 格 中 双击 Start Vusers, 这 时 将 打开 Edit Action 对 话 框 ,显示 Start Vusers 
操作 ,如 图 10-33 所 示 。Start Vusers 框 中 可 设置 启动 的 用 户 数量 。Simultaneously 选项 表 
示 同 时 启动 所 有 的 Vusers; 第 二 个 选项 表示 每 隔 多 长 时 间 启 动 多 少 个 虚拟 用 户 ,例如 每 隔 
15 秒 启 动 两 个 。 

@ 计划 持续 时 间 

在 Action 网 格 中 双击 Duration, 即 持续 时 间 。 这 时 将 打开 Edit Action 对 话 框 ,显示 持 
续 时 间 操 作 。 例 如 设置 运行 5 分 钟 。 
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Edit Action 


Action type Start Vusers 


® |2 二 Wusers every |00:00:15 一 (HHMM:SS) 


Cancel Kly 


10-33 ”启动 模式 设置 


@ 计划 逐渐 关闭 

在 Action 中 双击 Stop Vusers。 这 时 将 打开 Edit Action 对 话 框 ,显示 Stop Vusers 操 
作 。 选 择 第 二 个 选项 : 每 隔 30 秒 停止 5 个 Vuser。 

(3) 查看 计划 程序 图 示 

Interactive Schedule Graph( 交 互 计划 图 ) 显 示 了 场景 计划 中 的 Start Vusers、Duration 
和 Stop Vusers 操作 ,如 图 10-34 所 示 。 此 图 的 一 个 特点 是 其 交互 性 ,如 果 单 击 【 编 辑 模 式 】 
按钮 ,就 可 以 通过 拖 动 图 本 身 的 行 来 更 改 任何 设置 。 


> 这儿 国 四 SQ& 


Interactive Schedule Gmph 


大 一 Global Schedule 


Vusers 
总 


00:00:00 00:01:00 00:02:00 00:03:00 00:04:00 00:05:00 00:06:00 00:07:00 00:08:00 00:09:00 
Time 


图 10-34 计划 程序 图 示 
6. 设置 集合 点 


如 果 在 脚本 中 设置 了 集合 点 ,还 需要 在 Controller 中 设置 集合 点 策略 。 在 菜单 中 选择 
Scenario~~Rendezvous 插入 集合 点 ,将 弹出 集合 点 信息 对 话 框 ,如 图 10-35 所 示 。 

在 场景 中 设置 集合 点 实施 策略 , 单 击 Policy 按钮 ,将 弹出 集合 点 实施 策略 对 话 框 ,如 
图 10-36 所 示 。 

集合 点 设置 策略 如 下 。 

第 一 项 : 表示 当 所 有 用 户 数 的 XX% 到 达 集 合 时 ,就 开始 释放 等 待 的 用 户 , 并 继续 执行 
场景 。 

第 二 项 : 表示 当前 正在 运行 用 户 数 的 XX% 到 达 和 集合 点 时 ,就 开始 释放 等 待 的 用 户 并 继 
续 执 行 场景 。 

第 三 项 : 表示 当 有 X 个 用 户 到 达 集合 点 时 ,就 开始 释放 等 待 的 用 户 并 继续 执行 场景 。 
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Rendezvous Inforaation 


X Disable Rendezvous 


Status Information 


Curent status: 0of10 affived 
[Time Reason 


图 10-35 ”集合 点 信息 


Policy 
C Release when|100 习 % of al Vusers anive at the rendezvous 


人 Release when sd 自 % of all running Vusers anive a the rendezvous 
C Release when[1 四 Vusers arive atthe rendezvous 


Timeout between Vusers: |30 自 Sec 


图 10-36 集合 点 实施 策略 


超时 配置 : 默认 的 超时 时 间 是 30 秒 。 当 第 一 个 虚拟 用 户 到 达 后 ,Controller 会 计算 等 
待 下 一 个 虚拟 用 户 的 时 间 。 每 当 有 新 的 虚拟 用 户 到 达 时 ,计时 器 就 会 重 置 为 0。 如 果 过 了 
超时 时 间 , 下 一 个 虚拟 用 户 还 未 到 达 ,Controller 会 释放 所 有 当前 处 于 集合 点 的 虚拟 用 户 ， 
而 不 会 考虑 释放 条 件 是 否 满足 。 


7. IP Spoofer 设置 (IP 欺骗 技术 ) 


当 运 行 场景 时 ,虚拟 用 户 使 用 它们 所 在 的 负载 机 (Load Generator) 的 固定 IP 地 址 。 由 
于 每 个 负载 机 上 运行 大 量 的 虚拟 用 户 ,这样 就 造成 了 大 量 的 用 户 使 用 同一 IP 同时 访问 一 个 
网 站 的 情况 。 这 种 情况 和 实际 运行 的 情况 不 符 , 并 且 有 一 些 网 站 会 根据 用 户 IP 来 分 配 资 
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源 , 限 制 同一 个 IP 登录 和 使 用 等 。 为 了 更 加 真实 地 模拟 实际 情况 ,LoadRunner 允许 运行 的 
虚拟 用 户 使 用 不 同 的 IP 访问 同一 网 站 ,这 种 技术 称 为 “IP 欺骗 "。 启 用 该 技术 后 ,场景 中 运 
行 的 虚拟 用 户 将 模拟 从 不 同 的 IP 地 址 发 送 请 求 。 

单 击 【 开 始 】->【 所 有 程序 】>HP LoadRunner 一 Tools 一 IP Wizard, 将 弹出 IP Wizard 配 
置 对 话 框 ,如 图 10-37 所 示 。 


IP Vizard - Step 1 of 3 


IP Wizard helps you nanage your machine' s IP addresses 
到 of the following: 


CE | 
Load previous settings frof 了 ]_ | | 


Bestore original set- 


本 | 
Cy) Before any changes you nade can take effect 
de table of the server might need 


图 10-37 IP Wizard 配置 


(1) Create new settings: 第 一 次 运行 IP Wizard 需要 选择 该 项 来 增加 新 的 IP。 

(2) Load previous settings from file: 选择 保存 好 的 文件 ,如 果 以 前 运行 过 IP Wizard， 
可 以 选择 该 项 。 

(3) Restore original settings: 用 于 使 用 IP 欺骗 进行 测试 完成 后 ,释放 IP 的 过 程 。 

单 击 【 下 一 步 ] 按 钮 ,设置 服务 器 的 IP 地 址 。 单 击 【 下 一 步 3 按 钮 将 看 到 该 计算 机 的 IP 
地 址 列表 。 单 击 【 添 加 按钮 可 以 定义 地 址 范围 。 在 该 对 话 框 中 选择 计算 机 的 IP 地 址 类 型 ， 
指定 要 创建 的 了 P 地 址 数 。 选 中 [验证 新 的 IP 地 址 未 被 使 用 】 复 选 框 ,以 指示 IP 向 导 对 新 地 
址 进行 检查 。 这 样 只 会 添加 未 使 用 的 地 址 。 完 成 之 后 ,IP 向 导 会 显示 出 IP 变更 统计 的 对 
话 框 。 

在 Controller 的 场景 中 ,在 菜单 Scenario 一 Enable IP Spoofer 中 , 打 勾 即 可 启用 
IPSpoofer。 启 用 后 ,Controller 的 状态 栏 里 会 显示 IP Spoofer 标志 。 


10.3.2 执行 场景 


设计 好 负载 测试 场景 之 后 ,就 可 以 运行 该 测试 并 观察 应 用 程序 在 此 负载 下 的 性 能 。 单 
击 较 按钮 ,或 者 单 击 菜单 栏 上 的 Scenario>Start, 将 开始 运行 场景 。 此 时 可 看 到 Controller 的 
“运行 ?视图 ,如 图 10-38 所 示 ,“ 运 行 " 视 图 用 来 管理 和 监控 测试 情况 的 控制 中 心 。 

“运行 ”视图 包含 下 面 几 部 分 。 

(1) 场景 组 窗 格 

场景 组 窗 格 位 于 左上 角 的 窗 格 . 可 以 在 其 中 查看 场景 组 内 Vuser 的 状态 。 使 用 该 窗 格 
右 侧 的 按钮 可 以 启动 .停止 和 重 置 场景 ,查看 各 个 Vuser 的 状态 ,通过 手动 添加 更 多 Vuser 
增加 场景 运行 期 间 应 用 程序 的 负载 。 

(2) 场景 状态 窗 格 

场景 状态 窗 格 位 于 右上 和 角 的 窗 格 .可 以 在 其 中 查看 负载 测试 的 概要 信息 ,包括 正在 运行 
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图 10-38 场景 运行 窗口 


的 Vuser 数目 和 每 个 Vuser 操作 的 状态 。 

(3) 可 用 图 树 

可 用 图 树 位 于 中 间 偏 左 位 置 的 窗 格 ,可 以 在 其 中 看 到 一 列 LoadRunner 的 图 表 。 要 打 
开 图 , 需 在 树 中 选择 一 个 图 ,并 将 其 拖 到 图 查看 区 域 。 

(4) 图 查看 区 域 

图 查看 区 域 位 于 中 间 偏 右 位 置 的 窗 格 。 用 户 可 以 在 其 中 自 定 义 显示 画面 ,可 查看 1 一 8 
幅 图 。 单 击 菜单 中 的 View 一 View Graphs 可 设置 图 的 显示 方式 。 

(5) 图 例 

图 例 位 于 底部 的 窗 格 ,可 以 在 其 中 查看 所 选 图 的 数据 。 选 中 一 行 时 ,图 中 的 相应 线条 将 
突出 显示 ,反之 则 不 突出 显示 。 

场景 停止 运行 的 情况 有 三 种 : 所 有 用 户 都 执行 完 脚本 ,测试 人 员 手 动 停止 了 场景 的 运 
行 , 执 行 超时 。LoadRunner 可 以 根据 用 户 的 设 定 , 采 用 不 同 的 停止 方式 。 

(1) 如 果 想 停止 整个 场景 的 运行 ,可 以 在 场景 运行 过 程 中 单 击 Run 标签 中 的 Stop 
按钮 。 

(2) 如 果 和 希望 选 定 的 用 户 组 停止 执行 ,可 以 在 场景 运行 过 程 中 单 击 Run 标签 中 的 Run/ 
Stop Vusers 按钮 。 

(3) 如 果 在 Tools 一 Options 一 人 Run-Time Settings 中 设 定 了 Wait for the current 
iteration to end before stopping 或 者 Wait for the current action to end before stopping , 那 


么 可 以 单 击 Vusers 习 Gradual Stop 按钮 逐渐 停止 场景 的 运行 。 
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10.3.3 场景 监控 
1. 场景 用 户 状 态 (Scenario Groups) 


场景 运行 过 程 中 ,在 Scenario Groups( 场 景 组 ) 窗 格 中 可 以 看 到 虚拟 用 户 执 行 时 所 处 的 
各 种 状态 ,如 图 10-39 所 示 。 


Scenario Groups 


图 10-39 ”场景 用 户 状态 信息 


虚拟 用 户 运 行 状 态 说 明 如 下 。 

(1) Down( 关 闭 ): Vuser 处 于 关闭 状态 ; 

(2) Pending( 挂 起 ) : Vusers 初始 化 已 经 就 绪 , 正 等 待 可 用 的 负载 生成 器 ,或 者 正在 向 
负载 生成 器 传输 文件 ; 

(3) Init( 初 始 化 ) : Vuser 正在 进行 初始 化 ; 

(4) Ready( 就 绪 ): Vuser 已 经 执行 了 脚本 的 初始 化 部 分 ,可 以 开始 运行 ; 

(5) Run( 运 行 ): Vuser 正在 运行 ,正在 负载 生成 器 上 执行 虚拟 用 户 脚本 ; 

(6) Rendezvous( 集 合 点 ): Vuser 已 经 到 达 了 集合 点 ,正在 等 待 释放 ; 

(7) Passed( 完 成 并 通过 ) : Vuser 已 经 运行 结束 ,并 且 成 功 通过 ; 

(8) Failed( 完 成 但 失败 ): Vuser 已 经 运行 结束 ,并 且 是 失败 的 ; 

(9) Error( 错 误 ): Vuser 发 生 了 错误 ,可 以 查看 单个 Vuser 的 详细 状态 日 志 ; 

(10) Gradual Exiting( 逐 步 退出 ): Vuser 正在 运行 退出 前 的 最 后 一 次 迭代 ; 

(11) Exiting( 退 出 ): Vuser 已 经 完成 操作 ,正在 退出 ; 

(12) Stoped( 停 止 ): Vuser 被 停止 。 

单 击 【 虚 拟 用 户 ] 按 钮 本 ws |. 将 打开 虚拟 用 户 信息 框 ,如 图 10-40 所 示 。 在 这 里 
可 以 看 到 每 个 虚拟 用 户 的 详细 信息 。 


加 
学 Rn 
跌 Gradual 5top 


图 10-40 ”虚拟 用 户 状态 信息 
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2. 场景 运行 状态 


场景 运行 过 程 中 ,在 Scenario Status( 场 景 状态 ) 窗 格 中 ,可 以 看 到 当前 负载 的 用 户 数 、 
消耗 时 间 、 每 秒 点 击 量 、 事 务 通过 /失败 的 数量 ,以 及 系统 错误 的 数量 等 信息 ,如 图 10-41 
所 示 。 
场景 状态 信息 说 明 如 下 。 Scenario Status 
(1) Running Vusers (正在 运行 的 虚拟 用 ue Vn 
户 ): 负载 生成 器 上 正在 执行 的 虚拟 用 户 数 ; ee 
(2) Elapsed Time( 已 用 时 间 ): 自 场景 开始 | PessedTransactons 
运行 到 现在 所 用 的 时 间 ， sd 
(3) Hits/Second( 每 秒 点 击 次 数 ): 场景 运 
行 期 间 , 每 秒 的 点 击 次 数 ( 每 秒 对 测试 网 站 发 出 
的 HTTP 请 求 数 ); 
(4) Passed Transactions( 通 过 的 事务 数 ): 场景 运行 到 现在 成 功 通过 的 事务 数 ; 
(5) Failed Transactions( 失 败 的 事务 数 ) : 场景 运行 到 现在 失败 的 事务 数 ; 
(6) Errors( 错 误 数 ): 场景 运行 到 现在 发 生 的 错误 数 。 
单 击 场景 状态 窗 格 中 的 【查询 按钮 ,可 以 打开 事务 的 信息 ,如 图 10-42 所 示 。 


Hits/Second 


图 10-41 场景 运行 状态 信息 


[Action_Transaction 
vuser_ini_Transaction 


图 10-42 事务 执行 信息 


3. 计数 器 管理 


当 测 试 运行 时 ,可 以 通过 LoadRunner 的 一 套 集成 监控 器 实时 了 解 应 用 程序 的 实际 性 
能 以 及 洪 在 的 瓶颈 。 在 Controller 的 联机 图 上 可 查看 监控 器 收 
集 的 性 能 数据 。 联 机 图 显示 在 【运行 选项 卡 的 图 查看 区 域 , 如 
图 10-43 所 示 。 

(1) Runtime Graphs( 运 行 时 图 ): 显示 参与 场景 的 Vuser 
数 和 状态 ,以 及 Vuser 生成 的 错误 数 和 类 型 。 


Available Graphs x 
日 Runtme Graphs 
Running Vusers 
User Defined Data Points 
Eror Statistics 
Vusers with Errors 
日 Transacton Graphs 
Trans Response Time 


Trans/Sec [Passed) 


Trans/Sec (Faied Stopped) (2) Transaction Graphs( 事 务 图 ): 显示 场景 运行 时 ,各 事 
wobec rae 务 速率 和 响应 时 间 。 

es (3) Web Resource Graphs(Web 资源 图 ): 监视 场景 运行 

Postaasenl 期 间 Web 服务 器 上 的 信息 ,主要 包括 Web 连接 数 .吞吐 量 、 

ee 有 ee 


图 10-43 可 用 图 树 (4) SystemResource Graphs( 系 统 资源 ) : 主要 是 监控 场景 
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运行 期 间 Windows、UNIX、Tuxedo、SNMP \SiteScope 等 的 资源 使 用 情况 。 

(5) Network Graphs( 网 络 ) : 监控 网 络 发 送 的 数据 包 ,数据 包 返 回 后 ,监视 器 计算 包 到 
达 请 求 的 节点 和 返回 所 用 的 时 间 , 即 网 络 延 迟 时 间 。 

(6) Web Server Resource Graphs(Web 服务 器 资源 ): 用 于 度量 Apache、MS IIS 等 
Web 服务 器 资源 信息 。 

(7) Database Server Resource Graphs( 数 据 库 服务 器 资源 ) : 用 于 度量 场景 运行 期 间 数 
据 库 DB2、Oracle、SQL 服务 器 和 Sybase 统计 信息 的 情况 。 

(8) Streaming Media( 流 媒体 ) : 用 于 度量 场景 运行 期 间 RealPlayer 和 Media Player 客 
户 端 以 及 Windows Media 服务 器 和 RealPlayer 音频 /视频 服务 器 的 统计 信息 。 

(9) ERP/CRM Server Resource Graphs(ERP/CRM 服务 器 资源 ) : 用 来 度量 场景 执行 
期 间 SAP R/3 系统 .SAP Portal Siebel Server Manager、Siebel Web 服务 器 和 PeopleSoft 
(CTuxedo) 服 务 器 的 统计 信息 。 

(10) Application Component Graphs( 应 用 程序 组 件 ): 用 来 度量 场景 执行 期 间 
Microsoft COM 十 和 Microsoft .NET CLR 服务 器 的 统计 信息 。 

(11) Application Deployment Solutions( 应 用 程序 部 署 解决 方案 ): 用 来 度量 场景 执行 
期 间 Citrix 服务 器 的 统计 信息 。 

(12) Middleware Performance Graphs (中间 件 性 能 ): 度量 场景 执行 期 间 Tuxedo 和 
IBM WebSphere MQ 服务 器 的 统计 信息 。 

(13) Infrastructure Resource Graphs( 基 础 结构 资源 ) : 用 于 度量 场景 执行 期 间 网 络 客 
户 端 数 据点 的 统计 信息 。 


fo.4 分 析 器 


通过 分 析 器 (Analysis) 可 以 对 负载 生成 后 的 相关 数据 进行 整理 分 析 。 
10.4.1 新 建 数据 分 析 


现在 场景 运行 已 经 结束 ,可 以 使 用 HP LoadRunner Analysis 来 分 析 场 景 运 行 期 间 生 
成 的 性 能 数据 。Analysis 将 性 能 数据 汇总 到 详细 的 图 和 报告 中 。 使 用 这 些 图 和 报告 ,可 
以 轻松 找 出 并 确定 应 用 程序 的 性 能 瓶颈 ,同时 确定 需要 对 系统 进行 哪些 改进 以 提高 其 
性 能 。 

下 列 三 种 方式 均 可 打开 Analysis 会 话 框 。 

(1) 在 Controller 中 ,在 Controller 菜单 中 选择 [工具 】>Analysis, 或 选择 [开始 >【 程 
序 】>HPLoadRunner>【 应 用 程序 >Analysis 来 打开 Analysis。 

(2) 在 Analysis 窗口 中 选择 [文件 ->【 打 开 】。 这 时 将 打开 [打开 现 有 Analysis 会 话 文 
件 ] 对 话 框 。 

(3) 在 “LoadRunner 安装 位 置 \Tutorial” 文 件 夹 中 ,选择 analysis_session 并 单 击 打开 。 
Analysis 将 在 Analysis 窗口 中 打开 该 会 话 文件 。 


10.4.2 场景 摘要 
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当 Analysis 导入 场景 数据 后 ,首先 看 到 的 就 是 统计 表格 Analysis Summary 场景 摘要 ， 
提供 了 对 整个 场景 数据 的 简单 报告 。 通 过 Analysis Summary 可 以 对 整个 性 能 测试 的 结果 


有 一 个 直观 的 了 解 。Analysis Summary 界面 如 图 10-44 所 示 。 


Samaery lepert | Running Vasers | Hits per Second| Throughput | Transaction Sanmary| Average Transa Response Time | 


Analysis Summary Period: 2014-5-10 0:08 - 2014-5-10 0:15 


Scenario Name: Scenariol 
Results in Session: C:\Documents and Settings\Administrator\Locsl Settings\Temp\res\res.lrr 
Duration: 6 minutes and 46 seconds. 


Statistics Summary 


25,010,898 
61,452 
9,528 
23.41 


You can define SLA data using the SLA confiquration wizard 
You can analyze transaction behavior using the Analyze Transaction mechanism 


Transaction Summary 


Transactions: Total Passed: 63 Total Failed: 0 Total Stopped: 5 Average Response Time 


Transaction Name SIAStatus Minimum Average Maximum Std. Deviation 90 Percent 


4.561 22.4 123.767 29.982 
0 0 0 
0 0 0 0 


Service Level Agreement Legend: pass 因 Fail © No Data 


HTTP Responses Summary 


64.906 
o 
0 


10-44 Analysis Summary 界面 


1. 场景 摘要 


通过 场景 摘要 可 以 了 解 场景 执行 的 基础 信息 。 场 景 摘要 包括 以 下 内 容 。 


(1) Period: 场景 运行 的 起 止 时 间 ; 

(2) Scenario Name: 场景 名 称 ; 

(3) Results in Session: 场景 运行 的 结果 目录 ; 
(4) Duration: 场景 运行 的 持续 时 间 。 
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2. 统计 信息 


场景 状态 的 统计 (Statistics Summary) 信 息 包 含 下 列 内 容 。 

(1) Maximum Running Vusers: 场景 运行 的 最 大 用 户 数 ; 

(2) Total Throughput(bytes) : 总 吞吐 量 ( 总 带宽 流量 ); 

(3) Average Throughput(bytes/second) : 平均 每 秒 吞吐 量 (带宽 流量 ); 
(4) Total Hits: 总 点 击 数 ; 

(5) Average Hits per Second: 平均 每 秒 点 击 数 ; 


(6) 单 击 View HTTP Responses Summary 选项 可 以 在 下 端 看 到 HTTP 请 求 的 统计 。 


3. 事务 摘要 


事务 摘要 (Transaction Summary) 中 首先 给 出 的 是 场景 中 所 有 事务 的 情况 说 明 。 
(1) Total Passed: 事务 的 总 通过 数 ; 

(2) Total Failed: 事务 的 总 失败 数 ; 

(3) Total Stopped: 事务 的 总 停止 数 。 

单 击 Average Response Time 可 以 打开 事务 平均 响应 时 间 图 表 。 

在 事务 摘要 中 可 以 看 到 每 个 具体 事务 的 情况 ,其 中 包括 下 列 数 据 项 。 

(1) Transaction Name: 事务 名 ; 

(2) SLA Status: SLA 状态 ,在 SLA 的 指标 测试 中 最 终结 果 是 通过 还 是 失败 ; 
(3) Minimum: 事务 最 小 时 间 ; 

(4) Average: 事务 平均 时 间 ; 

(5) Maximum: 事务 最 大 时 间 ; 

(6) Std，Deviation: 标准 方差 ; 

(7) Pass: 事务 通过 数 ; 

(8) Fail: 事务 失败 数 ; 

(9) Stop: 事务 停止 数 。 


4. HTTP 响应 摘要 


HTTP 响应 摘要 (HTTP Response Summary) 将 给 出 服务 器 返回 的 状态 ,其 中 包括 下 


列 信 息 。 
(1) HTTP Responses: 服务 器 返回 HTTP 请 求 状态 。 
(2) Total: HTTP 请 求 返回 次 数 。 
(3) Per second: 每 秒 请 求 数 。 


5. 测试 数据 图 表 


Analysis 窗口 左 窗 格 内 的 图 树 列 出 了 已 经 打开 可 供 查看 的 图 。 在 图 树 中 ,可 以 选择 打 


开 新 图 ,也 可 以 删除 不 想 再 查看 的 图 。 这 些 图 显示 在 Analysis 窗口 右 窗 格 的 图 查看 


区 域 


中 ,可 以 在 该 窗口 下 部 窗 格 内 的 图 例 中 查看 所 选 图 的 详细 数据 。Analysis 窗口 如 图 10-45 


所 示 。 
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图 10-45 Analysis 窗口 


10.4.3 数据 图 


Analysis 分 析 器 提供 了 丰富 的 分 析 图 ,常见 的 有 虚拟 用 户 图 .错误 图 .事务 图 .Web 资 
源 图 、 网 页 分 析 图 .系统 资源 图 .Web 服务 器 资源 图 和 数据 库 服务 器 资源 图 等 。 


1. Vusers( 虚 拟 用户 ) 


Vusers 用 户 状态 计数 器 组 提供 了 产生 负载 的 虚拟 用 户 运行 状态 的 相关 信息 ,可 以 帮助 
我 们 了 解 负载 生成 的 过 程 。 

(1) Running Vusers( 负 载 过 程 中 的 虚拟 用 户 运 行情 况 ) : 反映 系统 形成 负载 的 过 程 , 随 
着 时 间 的 推移 ,虚拟 用 户 数 是 如 何 变化 的 。 

(2) Rendezvous( 负 载 过 程 中 集合 点 下 的 虚拟 用 户 数 ): 反映 随 着 时 间 的 推移 各 个 时 间 
点 上 并 发 用 户 的 数目 ,方便 我 们 了 解 并 发 用 户 数 的 变化 情况 。 


2. Errors( 错 误 统 计 ) 


当场 景 在 运行 过 程 中 出 现 错误 时 ,错误 信息 会 被 保存 在 Errors 计算 器 组 中 ,通过 Error 
信息 可 以 了 解 错误 产生 的 时 间 和 错误 的 类 型 ,帮助 我 们 确定 错误 产生 的 原因 。 

Errors per Second( 每 秒 错误 数 ) 可 以 了 解 在 每 个 时 间 点 上 错误 产生 的 数目 。 通 过 这 个 
图 可 以 了 解 错误 随 负载 的 变化 情况 ,定位 何 时 系统 在 负载 下 开始 不 稳定 甚至 出 错 , 配 合 系统 
日 志 可 以 定位 产生 错误 的 原因 。 
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3. Transaction( 事 务 ) 


(1) Average Transaction Response Time( 平 均 事务 响应 时 间 ) 

此 数据 反映 随 着 时 间 的 变化 事务 响应 时 间 的 变化 情况 ,时 间 越 小 说 明 系 统 处 理 的 速度 
越 快 。 如 果 和 用 户 负载 生成 图 合并 在 一 起 ,就 可 以 发 现 用 户 负 载 增加 对 事务 响应 时 间 的 影 
响 规律 。 这 里 不 但 要 评估 响应 时 间 的 长 短 , 还 要 评估 响应 时 间 随 用 户 增加 的 趋势 ,增长 趋势 
越 平稳 系统 性 能 越 好 。 

(2) Transactions per Second( 每 秒 事 务 数 ) 

每 秒 事务 数 反 映 了 系统 在 同一 时 间 内 能 处 理 业 务 的 最 大 能 力 ,此 数据 越 高 ,说 明 系统 处 
理 能 力 越 强 。 

(3) Transaction Summary( 事 务 概要 说 明 ) 

事务 概要 说 明 给 出 事务 的 成 功 (Pass) 和 失败 (Fail) 个 数 , 了 解 负载 的 事务 完成 情况 。 
通过 的 事务 数 越 多 ,说 明 系 统 的 处 理 能 力 越 强 ; 失败 的 事务 越 少 ,说 明 系统 越 可 靠 。 

(4) Transaction Performance Summary( 事 务 性 能 概要 ) 

事务 性 能 概要 给 出 事务 的 平均 时 间 、 最 大 时 间 、 最 小 时 间 柱 状 图 ,方便 分 析 事 务 响应 
时 间 的 情况 。 柱 状 图 的 落差 小 说 明 响 应 时 间 的 波动 小 ; 如 果 落 差 很 大 ,说 明 系 统 不 够 
稳定 。 

(5) Transaction Response Time Under Load( 在 用 户 负 载 下 事务 响应 时 间 ) 

给 出 了 在 负载 用 户 增长 的 过 程 中 响应 时 间 的 变化 情况 .此 图 的 线条 越 平稳 ,说 明 系 统 越 
稳定 。 

(6) Transaction Response Time( Percentile) (事务 响应 时 间 的 百分比 ) 

给 出 不 同 百分比 下 的 事务 响应 时 间 范 围 。 通 过 此 图 可 以 了 解 有 多 少 比例 的 事务 发 生 在 
某 个 时 间 内 ,也 可 以 发 现 响应 时 间 的 分 布 规律 ,数据 越 平稳 说 明 响应 时 间 变 化 越 小 。 

(7) Transaction Response Time(Distribution) (每 个 时 间 段 上 的 事务 数 ) 

给 出 在 每 个 时 间 段 上 的 事务 个 数 ,响应 时 间 较 小 的 情况 下 事务 数 越 多 越 好 。 


4. Web Resource( 网 页 资源 信息 ) 


(1) Hits per Second( 每 秒 点 击 数 ) 

每 秒 点 击 数 提供 了 当前 负载 中 对 系统 所 产生 的 点 击 量 记 录 。 每 一 次 点 击 相当 于 对 服务 
器 发 出 了 一 次 请 求 ,一 般 点 击 数 会 随 着 负载 的 增加 而 增加 ,数据 越 大 越 好 。 

(2) Throughput( 带 宽 使 用 ) 

给 出 在 当前 系统 负载 下 所 使 用 的 带宽 ,该 数据 越 小 说 明 系统 的 带宽 依赖 越 少 ,通过 此 数 
据 能 够 确定 是 否 出 现 了 网 络 带宽 的 瓶颈 。 这 里 使 用 的 单位 是 字 节 。 

(3) HTTP Response per Second( 每 秒 HTTP 响应 数 ) 

给 出 每 秒 服务 器 返回 各 种 状态 的 数目 ,该 数值 一 般 和 每 秒 点 击 量 相同 。 点 击 量 是 指 客 
户 端 发 出 的 请 求 数 ,而 HTTP 响应 数 是 指 服务 器 返回 的 响应 数 。 如 果 服 务 器 返回 的 响应 数 
小 于 客户 端 发 出 的 点 击 数 ,说 明 服 务 器 无 法 应 答 超 出 负载 的 连接 请 求 。 如 果 这 个 数据 和 每 
秒 点 击 数 吻合 ,说 明 服 务 器 能 够 对 每 个 客户 端 请 求 进行 应 答 。 
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(4) Retries per Second( 每 秒 重 接 数 ) 

反映 服务 器 端 主动 关闭 的 连接 情况 ,该 数据 越 低 说 明 服务 器 端的 连接 释放 越 长 。 

(5) Connection per Second( 每 秒 连接 数 ) 

给 出 两 种 不 同 状态 的 连接 数 , 一 种 是 中 断 的 连接 ,一 种 是 新 建 的 连接 ,方便 用 户 了 解 当 
前 每 秒 对 服务 器 产生 的 连接 数量 。 同 时 连接 数 越 多 ,说 明 服务 器 的 连接 池 越 大 。 当 连接 数 
随 着 负载 上 升 而 停止 上 升 时 ,说 明 系 统 的 连接 池 已 满 ,无 法 连接 更 多 的 用 户 。 通 常 这 个 时 候 
服务 器 会 返回 504 错误 ,可 以 通过 修改 服务 器 的 最 大 连接 数 来 解决 此 问题 。 


5. Web Page Diagnostics( 网 页 分 析 ) 


当 在 场景 中 打开 Diagnostics 菜单 下 的 Web Page Diagnostics 功能 ,就 能 得 到 网 页 分 析 
组 图 。 通 过 这 个 图 ,可 以 对 事务 的 组 成 进行 抽 丝 剥 草 的 分 析 ,得 到 组 成 这 个 页 面 的 每 一 个 请 
求 时 间 分 析 , 进 一 步 了 解 响应 时 间 中 有 关 网 络 和 服务 器 处 理 时 间 的 分 配 关 系 。 通 过 这 个 功 
能 ,可 以 实现 对 网 站 的 前 端 性 能 分 析 , 明 确 系 统 响应 时 间 较 长 是 由 服务 器 端 (后 端 ) 处 理 能 力 
不 足 还 是 短 连接 到 服务 器 的 网 络 (前 端 ) 消 耗 导致 的 。 

(1) Web Page Diagnostics( 网 页 分 析 ) 

添加 该 图 先 会 得 到 整个 场景 运行 后 虚拟 用 户 访问 的 Page 列表 ,也 就 是 所 有 页 面 下 载 时 
间 列 表 。 

@ Download Time( 下 载 时 间 分 析 ): 组 成 页 面 的 每 个 请 求 下 载 时 间 。 

@ Component(Over time) (各 模块 的 时 间 变 化 ): 通过 这 个 功能 可 以 分 析 响 应 时 间 变 
长 是 因为 页 面 生成 慢 , 还 是 因为 图 片 资 源 下 载 慢 。 

@ Download Time(Over time) (模块 下 载 时 间 ): 针对 每 个 组 成 页 面 元 素 的 时 间 组 成 
部 分 分 析 ,方便 确认 该 元 素 的 处 理 时 间 组 成 部 分 。 

@ Time to Buffer(Over time)( 模 块 时 间 分 类 ): 列 出 该 元 素 所 使 用 的 时 间 分 配 比 例 ， 
是 受 Network Time 影响 的 多 还 是 Server Time 影响 的 多 。Server Time 是 服务 器 对 该 页 面 
的 处 理 时 间 ,Network Time 是 指 网 络 上 的 时 间 开 销 。 

(2) Page Download Time Breakdown( 页 面 响应 时 间 组 成 分 析 ) 

Page Download Time Breakdown 显示 每 个 页 面 响应 时 间 的 组 成 分 析 。 一 个 页 面 的 响 
应 时 间 一 般 由 以 下 内 容 组 成 。 

@ Client Time: 客户 端 浏览 接收 所 需要 使 用 的 时 间 ,可 以 不 用 考虑 。 

@ Connections Time: 连接 服务 器 所 需要 的 时 间 , 越 小 越 好 。 

加 DNS Resolution Time: 通过 DNS 服务 器 解析 域名 所 需要 的 时 间 ,解析 受到 DNS 服 
务 器 的 影响 , 越 小 越 好 。 

@ Error Time: 服务 器 返回 错误 响应 时 间 , 这 个 时 间 反 映 了 服务 器 处 理 错误 的 速度 ,一 
般 是 Web 服务 器 直接 返回 的 ,包含 网 络 时 间 和 Web 服务 器 返回 错误 的 时 间 , 该 时 间 越 小 
越 好 。 

@@ First Buffer Time: 连接 到 服务 器 ,服务 器 返回 第 一 个 字 节 所 需要 的 时 间 , 反 映 系 
统 对 于 正常 请 求 的 处 理 时 间 开 销 ,包含 网 络 时 间 和 服务 器 正常 处 理 的 时 间 , 该 时 间 越 小 
越 好 。 

FTP Authentication Time FTP: 认证 时 间 , 这 是 进行 FTP 登录 等 操作 所 需要 消耗 
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的 认证 时 间 , 越 短 越 好 。 

@ Receive Time: 接受 数据 的 时 间 , 这 个 时 间 反 映 了 带宽 的 大 小 ,带宽 越 大 ,下 载 时 间 
越 短 。 

@ SSL Handshaking Time SSL: 加 密 握 手 的 时 间 。 

Analysis 将 分 析 得 到 页 面 请 求 的 组 成 比例 图 .便于 分 析 页 面 时 间 浪 费 在 哪些 过 程 中 。 

(3) Page Download Time Breakdown(Over Time) (页 面 组 成 部 分 时 间 ) 

随 着 时 间 的 变化 所 有 请 求 的 响应 时 间 变 化 过 程 。 这 里 会 将 整个 负载 过 程 中 每 个 页 面 的 
每 个 时 间 组 成 部 分 都 做 成 单独 的 时 间 线 ,以 便 分 析 在 不 同 的 时 间 点 上 组 成 该 页 面 的 各 个 请 
求 时 间 是 如 何 变化 的 。 在 分 析 过 程 中 ,首先 找到 变化 最 明显 或 者 响应 时 间 最 高 的 页 面 , 随 后 
再 针对 这 个 页 面 进行 进一步 的 分 析 ,. 了解 时 间 偏 长 或 者 变化 较 快 的 原因 。 

(4) Time to First Buffer Breakdown( 页 面 请 求 组 成 时 间 ) 

通过 这 个 图 ,可 以 直接 了 解 到 整个 页 面 的 处 理 是 在 服务 器 端 消 耗 的 时 间 长 ,还 是 在 客户 
端 消 耗 的 时 间 长 ,从 而 分 析 得 到 系统 的 性 能 问题 是 在 前 端 还 是 在 后 端 。 

(5) Time to First Buffer Breakdown(Over Time) (基于 时 间 的 页 面 请 求 组 成 分 析 ) 

在 整个 负载 过 程 中 ,每 一 个 请 求 的 Server Time 和 Client Time 随 着 时 间 变 化 的 趋势 ， 
可 以 方便 定位 响应 时 间 随 着 时 间 变 化 的 原因 到 底 是 由 于 客户 端 变 化 导致 的 还 是 由 于 服务 器 
端 变化 导致 的 。 


6. Network Monitor( 网 络 监控 ) 


在 Controller 中 添加 Network Delay Time 监控 后 会 出 现 该 数据 图 。 这 个 功能 很 好 ， 
但 不 是 非常 直观 和 方便 ,建议 使 用 第 三 方 专门 的 路 由 分 析 工 具 进行 网 络 延 迟 和 路 径 
分 析 。 

(1) Network Delay Time( 网 络 延 迟 时 间 ) 

从 监控 机 至 目标 主机 的 平均 网 络 延迟 变化 情况 。 

(2) Network Sub-path Time( 网 络 Sub-path 时 间 ) 

从 监控 机 至 目标 机 各 个 网 络 路 径 的 平均 时 间 。 当 客户 端 在 连接 一 个 远程 服务 器 时 ,路 
径 并 不 是 唯一 的 , 收 到 路 由 器 的 路 由 选择 ,可 能 会 选择 不 同 的 路 径 最 终 访问 到 服务 器 。 

(3) Network Segment Delay Time( 网 段 延迟 时 间 ) 

各 个 路 径 上 的 各 个 节点 网 络 延 迟 情况 。 


7. Resource( 资 源 监控 ) 


资源 包括 很 多 种 ,在 Analysis 中 监控 的 都 是 各 种 系统 的 计数 器 ,这 些 计数 器 反映 了 系 
统 中 硬件 或 者 软件 的 运行 情况 ,通过 它 可 以 发 现 系统 的 瓶颈 。 

(1) System Resources( 系 统 资源 ) 

列 出 在 负载 过 程 中 系统 的 各 种 资源 数据 是 如 何 变化 的 ,该 图 需要 在 场景 中 设置 对 应 系 
统 的 监控 后 才 出 现 。 

(2) Database Server Resources( 数 据 库 资源 ) 

数据 库 的 相关 资源 在 负载 过 程 中 的 变化 情况 。 
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(3) Web Server Resources(Web 服务 器 资源 ) 
Web 服务 器 资源 在 负载 过 程 中 的 变化 情况 。 


10.4.4 图 的 操作 


1. 合并 图 


在 图 窗 格 中 右 击 ,在 弹出 的 菜单 中 选择 Merge 
Graphs, 将 弹出 Merge Graphs 对 话 框 , 如 图 10-46 


所 示 。 在 Select graph to merge with 下 拉 列 表 中 a na 


[Hspasecomg 可 


选择 要 合并 的 图 。 在 Select type of merge 单 选 按 
钮 组 中 有 三 种 方式 (Overlay Tile 和 Correlate) 可 


供 选择 。 


(1) Overlay( 秋 加) : 查看 共用 同一 X 轴 的 两 人 0yerlay RE 人 ^ 
个 图 的 内 容 。 合 并 图 左 侧 的 Y 轴 显 示 当 前 图 的 
轴 值 ,右边 Y 轴 显示 合并 进来 的 图 的 Y 轴 值 。 例 如 
将 Running Vusers 与 Hists per Second 以 Overlay 
方式 合并 ,合并 结果 如 图 10-47 所 示 。 ns 

(2) Tile( 平 铺 ) : 查看 在 平 铺 布局 共用 同一 个 
X 轴 , 合 并 进来 的 图 显示 在 当前 图 的 上 面 。 例 如 将 


Curent Graph: Running Vusers 


[Select gpeoimege | 


CF Ile 下 


Comelate 


[Tieofmergedgiaph 


Running Vusers 与 Hists per Second 以 Tile 方式 图 10-46 合并 图 选项 


合并 ,合并 结果 如 图 10-48 所 示 。 


Hits per Second - Running Vusers 


Hits per Second 
nS RUS s 


siasnA Jo JaqunN 


‘00:00 00:30 01:00 01:30 0200 0230 0300 0330 0400 04:30 05:00 05:30 06:00 06:30 


Elapsed scenario time mm:ss 


图 10-47 从 加 方式 合并 图 


(3) Correlate( 关 联 ): 合并 后 当前 图 的 Y 轴 变 为 合并 图 的 XX 轴 , 被 合并 图 的 Y 轴 作 为 
合并 图 的 Y 轴 。 例 如 将 Running Vusers 与 Hits per Second 以 Correlate 方式 合并 ,合并 结 


果 如 图 10-49 所 示 。 
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Hits per Second - Running Vusers 


Number of Vusers 


osgsgssgszigss3 


Hits per Second 


00:00 00:30 01:00 01:30 0200 0230 03:00 0330 04:00 04:30 05:00 05:30 06:00 06:30 
Elapsed scenario time mm-ss 


图 10-48 平 铺 方式 合并 图 


Running Vusers - Hits per Second 


Hits per Second (Average) 


0 2 4 6 8 10 12 14 16 18 20 
Number of Vusers 


图 10-49 关联 方式 合并 图 


2. 分 析 图 关联 (Auto Correlate) 


Auto Correlate 提供 了 自动 分 析 趋 势 影响 的 功能 ,可 以 方便 地 找 出 哪些 数据 之 间 有 明 
显 的 相关 性 和 依赖 性 ,通过 图 与 图 之 间 的 关系 确定 系统 资源 和 负载 之 间 的 关系 。 

启动 自动 关联 的 步骤 是 选择 菜单 上 的 View 一 Auto Correlate 命令 , 即 可 打开 自动 关 
联 ,如 图 10-50 所 示 。 

(1) Time Range 

Trend( 趋 势 ) : 选择 关联 度量 值 变化 趋势 相对 稳定 的 一 段 为 时 间 范 围 。 

Feature( 功 能 ) : 在 关联 度量 值 变化 相对 稳定 的 时 间 内 ,选择 一 段 大 体 与 整个 趋势 相似 
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RL 国 


Measurementto Correlate: | Pun = 
Time Range | Corelation Options | 
Select time range for correlation: Display values over complete time range 


别 。 ooo 001 O01 002 002 003 003 004 004 0:05 005 006 0:06 


00-00 00:30 01:00 01:30 02:00 02:30 03:00 03:30 04:00 04:30 05:00 05:30 06:00 06:30 
Suggest Time Range by Trend ~ From [000:00.00 To [000:08:47 hnnma 
Best Previou Ne 


人 Automaticaly suggest for new measurement 
PHint 
Shows the selected measurement from “Measurement to Corelate ”as well as the number of running Vusers 


图 10-50 自动 关联 


的 时 间 范 围 。 

Best( 最 佳 ) : 选择 关联 度量 值 发 生 明 显 变化 趋势 的 一 段 时 间 范 围 。 

(2) Correlation Options 

单 击 Correlation Options 标签 ,在 Select Graphs for Correlation 中 将 列 出 所 有 和 当前 
图 可 以 进行 关联 的 内 容 , 用 户 可 以 选择 需要 关联 的 图 ,如 图 10-51 所 示 。 

单 击 OK 按钮 ,将 看 到 自动 关联 的 结果 ,如 图 10-52 所 示 。 


3. 导入 外 部 数据 


LoadRunner 自 带 了 一 个 导入 数据 的 工具 。 在 Analysis 的 菜单 中 ,选择 Tools 一 
External Monitors 一 Import Data 命令 可 打开 导入 数据 对 话 框 。 

LoadRunner 支持 下 列 文件 类 型 : 

(1) NT Performance Monitor( * . csv) NT 性 能 监视 器 ; 

(2) Win2K Performance Monitor (* .csv)Windows 2000 性 能 监视 器 ; 

(3) Standard Comma Separated files( x* . csv) 标 准 逗 号 分 隔 文件 ; 

(4) Standard Microsoft Excel Files( * . csv)Microsoft Excel 文件 ; 

(5) Master-Detail Comma Separated files( x* .csv) 主 从 逗号 分 隔 文 件 ; 

(6) Master-Detail Microsoft Excel Files( * .csv) 主 从 Microsoft Excel 文件 。 
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Auto Correlate 


Measurementto Correlate: [Run 
Time Range = Conelation Dptions | 


-Select Graphs for Corelatiorr 
Select measurement categories: 

Curent Graph 

口 Rendezvous 

加 Average Transaction Respon 

口 Tansactions per Second 


加 Total Transactions 全 Secon 


Throughput 
口 Tod MB) 

口 HTTP Responses per Secom 
D Pages Dowrloaded per Seco 
口 connecions 
口 connections Per Second 


Data Intervat 


Automatic 
Comelate dalabasedon [5 secondintervals 


Dutput 
全 Showthe |5 most closely corelated measurements 
Show measurements with an influence factor of atleast |50 % 


FHint 
oles De rom sou eh by oreo Pom he 
Measurement to Correlate box 
te he he en 
ted measurement 


ne 


图 10-51 自动 关联 选项 


Auto Correlated Graph [1] 


Measurement Trends (standardized values) 


00:00 ”0030 -01:00 


0130 0200 0230 0300 0330 0400 0430 0500 05:30 06:00 06:30 


[Legend 


x) 


到 央 史 全 吕 | 纹 号 | 晤 | 四 | 伯 印 
Shee EGGEEGEEEEE 司 辣 
日 局 


FE er |vuseLend_Transaction 加 Ts Related |0 qd 

Average Transactio |Standardzed |vuser_ni_Transaction |54 linversely Related |0 

HisperSecond |Standardzed |His 5 Diect Related NA 

Thouohpu |Standadzed |Throvghput 5 Diecty Rielated |N/A | 
PEE E | 本 ] » 


图 10-52 自动 关联 结果 
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10.5.5 生成 报告 
1. 新 建 报告 (New Report) 


单 击 Reports 菜单 中 的 New Report 菜单 项 ,将 弹出 新 的 报告 模板 ,如 图 10-53 所 示 。 
在 这 里 用 户 可 以 对 报告 的 基本 信息 ,格式 和 内 容 进行 定义 。 


New Report 


[Customer faang (for aoss session) 


-Te 
[Customer faang (for aoss session) 


一 Author 
First Name: 


Job Tite: 


automatically indude any open graph you have in your analysis session as wel as the 


Dy waning thi templste yon or ay ganerate a ro gemion cnt faring repmt fat dies nehie range of perfowene staltts. This 
template will folowing nt 


Save As Template Generate | Cancel Heip 
图 10-53 ”新 建 报告 


在 General 中 ,可 以 定义 报告 的 标题 ,作者 信息 、 备 注 信息 ,以 及 场景 持续 时 间 等 信息 。 
在 Format 中 ,提供 了 对 正文 的 格式 设计 ,包括 报告 中 标题 的 字体 .颜色 等 。 在 Content 中 ， 
可 以 设置 报告 中 需要 包含 的 内 容 。 


2. 报告 模板 (Report Templates) 


单 击 Reports 菜单 中 的 Report Templates 菜单 项 ,将 弹出 报告 模板 窗口 ,通过 选择 不 同 
模板 即 可 生成 最 终 的 性 能 测试 报告 。 单 击 窗口 中 的 Generate Report 按钮 ,将 生成 性 能 测试 
报告 ,如 图 10-54 所 示 。 


3. HTML 格式 报告 


单 击 Reports 菜单 中 的 Report Templates 菜单 项 ,将 生成 HTML 格式 的 性 能 测试 报 
告 ,如 图 10-55 所 示 。 
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General Details 


Scenariol 
resir 

2014-5-10 0.08 
2014-5-100.08-20145-100-15 


[As soon as 
Ipossible 


图 10-54 性 能 测试 报告 


Analysis Summaryperiod: 2014-5-10 0:08 - 2014-5-10 0:15 


Scenario Name: 。 scenariol 


Transactions: Total passed: 63 Total Failed: 0 Total Stopped: 5 


Mction_Transaction ”© 
vuser_end_Transaction © o 0 0 o 
vuser_init_Transaction © 0 0 0 0 


Service Level Agreemment Legend: W Paxs 日 Fal © No Dals 
HTTP Responses Total Per second 


HTTP-200 9,21122.631 
HTTP_301 317 0.779 


图 10-55 HTML 格式 报告 


Results in Session: C:\Documents and Settings\Administrator\.ocal Settings\TempVesVesJm 
Duration: 


6 minutes and 46 seconds. 
Statistics summary 
Maximum Running Vusers: 20 
Total Throwghpet (bytes): © 25,010,898 
Ave second): © 61,452 
Total Hits: © 9,528 
Average Hits per Second: © 23.41 View HTTP Responses Summary 
Transaction Summary 


AppScan | 


人 1 AppScan 概述 


11.1.1 AppScan 简介 


IBM Rational AppScan 是 一 种 自动 化 Web 应 用 程序 安全 性 测试 引擎 ,能 够 连续 自动 
地 审查 Web 应 用 程序 ,测试 安全 性 问题 ,并 生成 包含 修订 建议 的 行动 报告 ,简化 修复 过 程 。 

IBM Rational AppScan 提供 下 列 功能 。 

(1) 核心 漏洞 支持 : 包含 WASC 隐患 分 类 中 已 识别 的 漏洞 ,如 SQL 注入 、 跨 站 点 脚本 
攻击 和 缓冲 区 溢出 。 

(2) 广泛 的 应 用 程序 覆盖 : 包含 集成 Web 服务 扫描 和 JavaScript 执行 (包括 Ajax) 与 
解析 。 

(3) 自 定义 和 可 扩展 功能 AppScan eXtension Framework 运行 用 户 社区 共享 和 构建 
开源 插件 。 

(4) 高 级 补救 建议 : 展示 全 面 的 任务 清单 ,用 于 修订 扫描 过 程 中 揭示 的 问题 。 

(5) 面向 渗透 测试 人 员 的 自动 化 功能 : 高 级 测试 实用 工具 和 Pyscan 框架 作为 手动 测试 
的 补充 ,提供 更 强大 的 力量 和 更 高 的 效率 。 

(6) 法 规 遵从 性 报告 : 40 种 开 箱 即 用 的 遵从 性 报告 ,包括 PCI Data Security Standard、 
ISO 17799 和 ISO 27001 以 及 Basel I。 


11.1.2 扫描 原理 
AppScan 扫描 包括 三 个 阶段 , 即 探测 阶段 ,测试 阶段 .扫描 阶段 。 
1. 探测 阶段 


在 探测 阶段 ,AppScan 将 模仿 一 个 用 户 对 被 访问 的 Web 应 用 或 Web 服务 站 点 进行 探 
测 访问 ,通过 发 送 请 求 对 站 点 内 的 链接 与 表单 域 进行 访问 或 填写 ,以 获取 相应 的 站 点 信息 。 
然后 ,AppScan 的 分 析 器 将 会 对 已 发 送 的 每 一 个 请 求 后 的 响应 做 出 判断 ,查找 出 可 能 存在 
潜在 风险 的 地 方 ,并 针对 这 些 可 能 会 隐 含 风险 的 响应 ,确定 将 要 自动 生成 的 测试 用 例 。 探 测 
过 程 中 所 采用 的 测试 策略 可 以 选择 默认 的 或 自 定义 的 。 用 户 可 根据 测试 需求 采用 不 同 的 测 
试 策略 。 测 试 策略 库 是 AppScan 内 置 的 ,用 户 可 以 定义 适当 的 组 合 , 来 检测 可 能 存在 的 安 
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全 隐患 。 

AppScan 测试 策略 库 是 针对 WASC 和 OWASP 这 两 大 安全 组 织 所 认为 的 安全 风险 定 
制 的。 测试 策略 库 就 如 同 病 毒 库 一 般 , 时 刻 保 持 着 最 新 的 状态 ,可 以 通过 对 策略 库 的 更 新 ， 
来 检测 最 近 发 现 的 Web 漏洞 。 

探测 阶段 完成 后 ,这 些 高 危 区 域 是 否 真 的 隐 含 安全 缺陷 或 应 做 更 好 的 改良 ,以 及 这 些 隐 
含 的 风险 处 于 什么 程度 ,需要 在 测试 执行 完成 后 ,才能 最 终 得 出 结论 。 


2. 测试 阶段 


探测 阶段 后 ,AppScan 已 经 分 析出 可 能 潜在 安全 风险 的 站 点 模型 ,并 知道 需要 生成 多 
少 的 测试 用 例 , 此 阶段 主要 就 是 生成 这 些 已 经 计划 好 的 测试 用 例 。AppScan 通过 测试 策略 
库 中 对 相应 安全 隐患 的 检测 规则 而 生成 对 应 的 测试 输入 ,这 些 测试 输入 ,将 在 扫描 执行 阶段 
对 系统 进行 验证 。 通 常 对 一 个 系统 的 测试 ,将 会 生成 上 万 甚至 几 十 万 上 百 万 的 测试 用 例 
输入 。 


3. 扫描 阶段 


扫描 阶段 ,AppScan 才 真 正 地 工作 起 来 。 它 把 测试 阶段 的 测试 用 例 产生 的 服务 请 求 陆 
续 发 送出 去 ,然后 再 检测 分 析 服 务 的 响应 结果 ,从 而 判断 该 测试 用 例 的 输入 ,是 否 造成 了 安 
全 隐患 或 安全 问题 ,然后 再 通过 测试 用 例 生成 的 策略 , 找 出 该 安全 问题 的 描述 ,以 及 该 问题 
的 解决 方案 ,同时 还 报告 相关 参数 的 请 求 发 送 以 及 响应 结果 。 

扫描 阶段 完成 以 后 ,AppScan 中 将 统计 相应 的 安全 问题 的 检测 结果 ,可 以 再 进行 检测 
结果 的 报告 导出 等 ,继而 对 检测 出 的 问题 进行 逐个 的 分 析 , 并 可 依据 报告 对 问题 进行 修复 或 
改良 。 

AppScan 安全 测试 模式 如 图 11-1 所 示 。 


Http Request 
攻击 特征 库 


Http Response | 

分 析 判 断 是 火 墙 

机 存在 沁 洞天。 
Rational 


AppScan 


中 间 层 


11-1 AppScan 安全 测试 模式 


11.1.3 典型 工作 流程 


Appscan 是 一 个 交互 式 的 工具 ,其 测试 范围 和 测试 程度 取决 于 用 户 对 它 进 行 的 相应 配 
置 。 因 此 ,在 使 用 Appscan 之 前 ,应 先 对 其 进行 相应 的 配置 ,以 满足 我 们 不 同 范围 和 程度 的 
需求 。 当 然 ,用 户 也 可 以 通过 默认 的 内 置 定义 进行 测试 ,此 时 Appscan 将 会 按照 缺 省 的 设 
置 进行 测试 。 
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通常 情况 下 Appscan 操作 流程 如 图 11-2 所 示 。 


1. 为 新 扫描 选择 模板 


也 
2. 选择 应 用 程序 或 Web Service 扫 描 


U 
3. 扫描 配置 向 导 
应 用 程序 : Web Service : 
卫 输 入 起 始 URL 了 输入 WSDL 文 件 的 位 置 
@@ 执行 手动 登录 了 ) (可 选 ) 复 审 测试 策略 
回 (可 选 ) 复 审 测试 策略 | |@ 通过 GSC 发 送 请 求 


J 


C2 A 
4. 运行 扫描 专家 4. 启动 自动 扫描 (可 选 ) 
让 扫描 专家 先 自动 评估 
i et < 相让 
了 启动 自动 扫描 和 调整 配置 ， 然 后 启动 


扫描 。( 可 选 ) 允 许 结果 
专家 在 扫描 完成 时 ， 将 


6. 运行 结果 专家 问题 信息 添加 到 结果 。 
亚 
7. 复审 结果 | 5. 复审 结果 


图 11-2 AppScan 基本 工作 流程 


1. Template Selection( 模 板 选 择 ) 


可 以 预先 定义 一 套 模板 ,或 者 选择 系统 默认 的 设置 模板 。 预 定义 模板 可 以 通过 先 选 择 
默认 模板 ,完成 向 导 后 先 暂 时 不 执行 测试 ,然后 再 对 当前 的 扫描 任务 进行 自 定义 ,定义 为 想 


要 的 模板 样式 ,在 Scan Configuration 中 选择 另存 ,保存 模板 。 在 创建 新 的 扫描 时 ,就 可 以 
选择 这 个 定义 好 的 扫描 模板 。 


2. Application or Web Service Scan( 选 择 应 用 或 Web Service 扫描 ) 
打开 配置 向 导 ,根据 需要 选择 测试 的 对 象 是 Web 应 用 程序 还 是 Web Service。 
3. Scan Configuration( 扫 描 配置 ) 


在 进行 扫描 配置 时 ,需要 设置 将 要 访问 的 应 用 或 服务 ,设置 登录 验证 ,选择 测试 策略 。 
也 可 以 使 用 默认 的 配置 或 加 载 修 改 适合 需要 的 配置 。 

扫描 Web 应 用 的 步骤 如 下 。 

(1) 填 人 开始 的 URL; 

(2) (推荐 ) 手 动 执 行 登录 指南 ; 

(3) (可 选 ) 检 查 测试 策略 。 

扫描 Web Service 的 步骤 如 下 。 

(1) 输入 WSDL 文件 位 置 ; 

(2) (可 选 ) 检 查 测试 策略 ; 


(3) 在 AppScan 录制 用 户 输入 和 回复 时 ,用 自动 打开 的 Web 服务 探测 器 接口 发 送 请 求 
到 服务 端 。 
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4. 运行 扫描 专家 (可 选 . 仅 Web 应 用 ) 


(1) 打开 扫描 专家 来 检查 用 户 为 应 用 扫描 配置 的 效果 ; 

(2) 复审 建议 的 配置 更 改 ,并 选择 性 地 应 用 这 些 更 改 。 

注意 : 启动 扫描 时 ,可 以 配置 “扫描 专家 ”以 执行 分 析 , 然 后 在 开始 扫描 时 应 用 它 的 部 分 
5. 启动 自动 扫描 

启动 自动 扫描 功能 进行 扫描 。 

6 .运行 结果 专家 (可 选 ) 


运行 结果 专家 以 处 理 扫 描 结果 ,并 向 【问题 信息 】 选 项 卡 添加 信息 。 
7. 复审 结果 


复审 结果 用 于 评估 站 点 的 安全 状态 。 还 可 以 执行 下 列 操作 : 
(1) 为 没有 发 现 的 链接 额外 执行 手工 的 扫描 ; 

(2) 打印 报告 ; 

(3) 复审 修复 任务 。 


fn.2 Appscan 窗口 


AppScan 主 窗口 包括 一 个 菜单 栏 . 工 具 栏 和 视图 选择 ,还 有 三 个 数据 窗口 , 即 应 用 树 、 
结果 列表 和 细节 。AppScan 主 窗口 如 图 11-3 所 示 。 窗 口 顶部 是 菜单 栏 和 工具 栏 ,左边 窗 格 
是 应 用 程序 树 , 右 上 窗 格 是 结果 列表 , 右 下 窗 格 是 详细 信息 窗 格 , 最 下 面 是 状态 栏 。 

(1) 菜单 栏 (Menu) : 涵盖 了 AppScan 中 的 所 有 可 用 功能 。 

(2) 工具 栏 (Tools): 常用 功能 的 快捷 菜单 ,如 开始 扫描 ,扫描 配置 .扫描 专家 等 。 

(3) 应 用 程序 树 (Application Tree): 在 扫描 过 程 中 AppScan 会 按照 一 定 的 层次 组 织 
显示 站 点 结构 图 。 默 认 按照 URL 层次 进行 组 织 ,用 户 可 以 在 扫描 配置 中 更 改 这 一 设置 。 

(4) 视图 选择 器 (View Selector) : 单 击 三 个 按钮 中 的 其 中 一 个 ,以 选择 在 三 个 主 窗 格 中 
显示 的 数据 类 型 。 

(5) 结果 列表 (Result List) : 在 此 视图 中 列 出 检测 到 的 所 有 安全 缺陷 。 

(6) 详细 信息 窗 格 (Detail Pane) : 此 视图 的 内 容 与 安全 问题 显示 视图 相关 ,用 来 显示 某 
特定 安全 问题 的 详细 信息 ,包括 问题 介绍 ,修复 建议 ,测试 数据 等 。 

(7) 状态 栏 (Status Bar) : 实时 显示 AppScan 状态 信息 。 

下 面 详细 介绍 菜单 栏 和 工具 栏 , 其 余 界面 信息 在 后 面 的 使 用 过 程 中 介绍 。 


1. 菜单 栏 


(1) File Menu( 文 件 菜单 ) : 进行 创建 .打开 和 保存 扫描 。 
@ New: 创建 一 个 新 的 扫描 。 
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图 11-3 AppScan 主 窗口 


@ Open: 打开 一 个 保存 的 扫描 或 者 扫描 模板 。 

@ Save: 保存 一 个 当前 的 扫描 或 者 扫描 模板 。 

@ Save As: 另存 为 一 个 当前 的 扫描 或 扫描 模板 。 

@@ Export Scan Results: 以 XML 或 数据 库 文件 形式 保存 并 导出 扫描 结果 。 

@ Import Explore Data: 加 载 一 个 导出 的 手工 探测 文件 。 

@ Print Preview: 打开 一 个 预览 窗口 显示 应 用 树 或 结果 清单 ,这 些 将 会 在 执行 打印 命 
令 时 被 打印 。 

@ Page Setup: 为 打印 操作 定义 纸张 尺寸 .来 源 、 方 向 和 页 边 距 。 

@ Print: 打印 的 前 应 用 树 和 结果 清单 。 

四 Exit: 退出 AppScan。 

@ filenames: 最 近 被 使 用 的 文件 。 

(2) Edit Menu( 编 辑 菜单 ): 提供 定制 扫描 结果 功能 。 

@ Delete: 删除 被 选择 的 问题 或 修复 任务 。 

@ Severity: 对 被 选择 的 问题 自 定义 严重 程度 ( 仅 在 问题 视图 时 被 激活 )。 

@ Priority: 为 修复 任务 更 改 优先 级 别 ( 仅 在 修复 视图 时 被 激活 ) 。 

@ Find: 在 当前 扫描 结果 集 查找 strings、IDs、HTTP code 等 (操作 依赖 于 一 项 在 当前 
三 个 视图 中 都 被 选择 的 ) 。 

(3) View Menu( 视 图 菜单 ): 让 用 户 决定 主 窗 口 的 数据 如 何 显示 。 

@ Security Issues: 显示 安全 问题 视图 。 

@ Remediation Tasks: 显示 修复 任务 视图 。 
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@ Application: 显示 应 用 数据 视图 (broken links、 visited URLs、 script、 Data parameters、 
interactive URLs、cookies、and so on)。Arrange By 为 Result List 选择 的 一 种 排序 方法 。 

@ Resize Panes: 调整 主 窗口 中 各 窗 格 的 大 小 。 

@@ View Selector: 隐藏 /显示 视图 选择 器 。 

(4) Scan menu( 扫 描 菜 单 ): 用 来 控制 扫描 。 

@ Start Scan/Continue Scan: 开始 扫描 /继续 扫描 。 

@ Stop Scan: 停止 当前 扫描 。 

@ Re-Scan: 重新 运行 当前 扫描 或 扫描 阶段 (探测 阶段 或 测试 阶段 )。 

@ Manual Explore: 手工 探测 站 点 。 

人 Explore Web Service: 探索 Web Service。 

@ Scan Log: 打开 在 扫描 期 间 由 AppScan 提供 的 操作 日 志 。 

@ Scan Configuration: 扫描 配置 ,定义 扫描 属性 。 


2. 工具 栏 


工具 栏 上 的 图 标 按钮 提供 了 对 常用 功能 的 快速 访问 ,当然 这 些 功能 也 可 以 从 菜单 打开 。 
工具 栏 上 的 图 标 如 图 11-4 所 示 。 


Oo WW 四 加 P 国 e@. 


Se se Manual Explore Configuration Beport | Find Scan Log PonerTools 
图 11-4 AppScan 工具 栏 
工具 栏 按钮 功能 特性 如 表 11-1 所 示 。 
表 11-1 AppScan 工具 栏 按钮 功能 


名 称 描 述 
Scan( 扫 描 ) 仅 当 已 装 和 人 并 配置 扫描 后 此 按钮 才 可 用 
Pause( 和 暂停 ) 暂停 当前 扫描 。 注 意 : 仅 当 扫描 正在 执行 时 ,该 按钮 才 是 活动 的 


打开 浏览 器 ,进入 应 用 程序 的 URL, 手 动 浏览 该 站 点 , 像 用 户 一 样 填 
人 参数 ,AppScan 为 该 站 点 创建 测试 时 ,会 将 该 探索 数据 添加 到 其 本 
身 自动 收集 的 探索 数据 中 


三 | Configuration( 配 置 ) | 打开 扫描 对 话 框 ,以 配置 扫描 


Manual Explore ( 手 
动 探索 ) 


Report( 创 建 报告 ) 使 用 当前 扫描 数据 来 创建 报告 


委 国 加 间 li@©Os 


Find( 查 找 ) 查找 问题 ,打开 AppScan 搜索 引擎 

显示 扫描 期 间或 扫描 之 后 的 扫描 日 志 , 列 出 扫描 期 间 AppScan 执行 
Scan Log( 扫 描 日 志 ) 的 所 有 操作 
PowerTools 打开 AppScan 提供 的 某 个 Power Tool 应 用 程序 ,帮助 完成 各 项 任务 
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(1 .3 AppScan 操作 


11.3.1 创建 扫描 


1. 启动 AppScan 


启动 AppScan, 在 屏幕 中 央 将 会 出 现 一 个 对 话 框 ,如 图 11-5 所 示 。 在 此 对 话 中 ,可 以 单 
击 Getting Started(PDF) 链 接 ,查看 IBM Rational AppScan 的 新 手 入 门 帮助 文档 。 也 可 以 
单 击 Create New Scan 来 创建 Web 安全 扫描 任务 。 


IBMe Security AppScan Standard 
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多 SR 
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图 11-5 启动 AppScan 
2. 新 建 扫描 
单 击 Create New Scan 按钮 ,在 屏幕 中 央 会 出 现 新 建 扫描 对 话 框 ,如 图 11-6 所 示 。 
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图 11-6 新 建 扫描 对 话 框 
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下 面 以 常规 扫描 为 例 。 单 击 右 侧 预定 义 模板 中 的 Regular Scan, 将 出 现 扫描 配置 向 导 
窗口 。AppScan 提供 了 Web 应 用 程序 和 Web 服务 的 扫描 (如 果 需 要 Web Server 的 扫描 必 
须 先 下 载 ) 。 

Web 应 用 : 在 应 用 的 情况 下 , 它 会 在 开始 的 URL 和 注册 认证 方面 进行 充分 的 安全 扫 
描 以 保证 能 够 测试 站 点 。 如 果 有 必要 也 可 以 手动 运行 站 点 ,以 扩大 安全 扫描 到 只 有 用 户 手 
动 才能 涉及 到 的 范围 。 

Web 服务 : 在 Web 服务 的 情况 下 ,IBM 特殊 工具 Web Services Explorer 创建 一 个 简 
单 的 界面 显示 可 连接 的 服务 和 输入 参数 及 结果 。 过 程 是 AppScan 录制 和 为 服务 创建 测试 。 

在 本 例 中 ,我 们 选择 Web Application Scan, 单 击 【 下 一 步 3 按 钮 ,将 弹出 扫描 配置 对 
话 框 。 

3. 配置 扫描 


使 用 AppScan 进行 扫描 过 程 中 ,需要 配置 扫描 属性 ,具体 配置 步骤 如 下 。 
(1) 配置 URL 和 Servers 
URL 和 Servers 的 配置 窗口 如 图 11-7 所 示 。 
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图 11-7 配置 URL and Servers 


© Starting URL 

Start the Scan from this URL: 从 该 URL 启动 扫描 。 

© Case-Sensitive Path 

Treat all paths as case-sensitive: 将 所 有 路 径 区 分 大 小 写 来 处 理 CUNIX,Linux 等 ) 。 

©® Additional Servers and Domains 

JInclude the following additional servers and domains in this scan: 在 该 扫描 中 包含 以 
下 其 他 服务 和 域 。 

在 Start the scan from this URL 中 ,输入 要 扫描 的 站 点 的 URL。 例 如 ,在 本 例 使 用 
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LxBlog 系统 进行 安全 测试 ,其 URL 地 址 为 http://192. 168. 1. 10/Blog/index. php。 
配置 好 后 , 单 击 Next 按钮 ,将 进入 登录 管理 配置 。 
(2) 配置 登录 管理 
配置 登录 管理 的 窗口 如 图 11-8 所 示 。 
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图 11-8 登录 管理 


Login Method( 登 录 方法 ) 包 括 以 下 几 种 。 

@ Use the following method to log in to the application: 使 用 以 下 方法 登录 应 用 程序 ; 

@ Recorded(Recommended): 记录 (推荐 ); 

@@ Prompt: 提示 ; 

@ Automatic: 自动 ; 

@ None: 无 。 

在 本 例 中 ,我们 选择 Record, AppScan 将 自动 打开 浏览 器 ,进入 LxBlog 网 站 的 登录 页 
面 ,录制 一 段 正确 的 登录 操作 (输入 正确 的 用 户 名 和 密码 ) ,然后 关闭 浏览 器 。 在 会 话 信 
息 对 话 框 中 ,检查 登录 流程 ,然后 单 击 OK 按钮 。 接 下 来 单 击 Next 按钮 将 进入 测试 策略 
配置 。 

(3) 选择 测试 策略 

测试 策略 配置 窗口 如 图 11-9 所 示 。 在 这 一 步 中 需要 检查 扫描 运用 的 测试 策略 ,即使 用 
哪 种 扫描 类 别 。 

注意 : 系统 默认 所 有 非 侵入 性 测试 将 被 执行 。 

@ Test Policy: 测试 策略 。 

Use this test policy for the scan: 使 用 该 测试 策略 进行 扫描 。 

@ Policy Files: 策略 文件 。 

Recent Policies: 最 近 的 策略 。 

Predefined Policies: 预定 义 策略 。 
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图 11-9 配置 测试 策略 
其 中 预定 义 策略 的 详细 描述 如 表 11-2 所 示 。 
表 11-2 预定 义 策略 描述 


策略 名 称 描 述 
Default( 缺 省 值 ) 该 策略 包含 所 有 测试 ,但 侵入 式 和 端口 侦 听 器 测试 除外 
Application-Only 该 策略 包含 所 有 应 用 程序 级 别 测试 ,但 侵入 式 和 端口 侦 听 器 测试 除外 
( 仅 限 应 用 程序 》 
Infrastructure-Only 该 策略 包含 所 有 基础 结构 级 别 测试 ,但 侵入 式 和 端口 侦 听 器 测试 除外 
( 仅 限 基础 结构 ) 
Third Party-Only 该 策略 包含 所 有 第 三 方 级 别 的 测试 ,但 侵入 式 和 端口 侦 听 器 测试 除外 
( 仅 限 第 三 方 ) 
Invasive( 侵 入 式 ) 该 策略 包含 所 有 侵入 式 测试 ( 即 可 能 会 影响 服务 器 稳定 性 的 测试 ) 
Complete( 完 成 ) 该 策略 包含 所 有 AppScan 测试 ,但 端口 侦 听 器 测试 除外 
Web Services 该 策略 包含 所 有 SOAP 相关 的 非 侵 入 式 测试 
(Web 服务 ) 
The Vital Few 该 策略 包含 一 些 成 功 可 能 性 极 高 的 测试 的 精 选 ,这 在 时 间 有 限时 可 能 对 站 点 
(少数 关键 的 ) 评估 有 所 帮助 
Developer Essentials 。 用 户 自 定义 的 (包含 一 些 成 功 可 能 性 极 高 的 应 用 程序 测试 的 精 选 ) 
(开发 者 精 要 ) 


(4) 完成 配置 向 导 

在 上 一 步 中 单 击 Next 按钮 完成 扫描 配置 向 导 , 如 图 11-10 所 示 。 

Complete Scan Configuration Wizard: 完成 扫描 配置 向 导 。 

启动 的 方法 包括 如 下 几 种 。 

。 Start a full automatic scan: 启动 全 面 自动 扫描 ; 

。 Start with automatic Explore only: 仅 使 用 自动 “探测 ”, 不 自动 进入 测试 阶段 ; 
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Scan Configuration Wizard 
URL and Servers 加 Complete scan Configuration Wizard 
Login Management 
Test Policy You have successfully completed the Scan Configuration Wizard. 
Complete 
Now do you want to start? 
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11-10 完成 配置 向 导 


。 Start with manual Explore: 使 用 “手动 探测 ”; 

。 工 will start the scan later: 稍 后 启动 扫描 ,关闭 向 导 后 再 手动 开始 扫描 。 

@ Start Scan Expert when Scan Configuration Wizard is complete: 当 结束 向 导 时 开启 
扫描 专家 。 

选择 Start a full automatic scan, 并 勾 选 Start Scan Expert when Scan Configuration 
Wizard is complete 选项 , 单 击 Finish 按钮 ,关闭 向 导 。 

单 击 Finish 按钮 后 ,将 弹出 自动 保存 对 话 窗口 。 单 击 Yes 按钮 ,将 立即 保存 扫描 。 单 
击 No 按钮 ,将 仅 对 该 扫描 禁用 “在 扫描 过 程 中 自动 保存 ”。 单 击 Disable 按钮 ,将 对 该 扫描 
及 以 后 的 扫描 禁用 “在 扫描 过 程 中 自动 保存 ”。 


11.3.2 执行 扫描 
1. 启动 扫描 


(1) 从 扫描 配置 向 导 启 动 扫 描 

完成 扫描 配置 向 导 后 ,就 可 以 启动 扫描 ,详细 信息 见 图 11-9。 

(2) 从 扫描 菜单 或 工具 栏 启动 扫描 

当 打 开 AppScan 时 ,可 以 使 用 当前 配置 从 扫描 菜单 或 工具 栏 来 启动 扫描 。 在 扫描 菜单 
上 ,或 从 工具 栏 上 的 扫描 按钮 中 ,选择 下 列 任 一 操作 。 

Q@ 全 面 扫描 : 运行 全 面 扫描 。 继 续 探 索 应 用 程序 ,直到 不 再 有 未 访问 的 URL 为 止 , 然 
后 自动 继续 测试 阶段 (如 果 配 置 了 多 阶段 扫描 ,请 根据 需要 完成 多 个 阶段 )。 

@) 仅 探 索 : 探索 应 用 程序 ,但 不 继续 测试 阶段 。 在 继续 测试 阶段 之 前 ,该 操作 允许 先 
检查 探索 结果 ,如 果 需 要 ,会 执行 手动 探索 。 

@ 仅 测 试 : 基于 现 有 探索 结果 来 测试 站 点 。 注 意 ,站 点 已 探索 时 才 是 活动 的 。 
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(3) 从 “欢迎 ”对 话 框 启动 扫描 

启动 AppScan 时 会 出 现 欢 迎 对 话 框 ,如 图 11-5 所 示 。 

扫描 时 ,进度 栏 ( 在 界面 的 上 部 显示 ) 和 状态 栏 ( 在 界面 的 下 部 显示 ) 提 供 扫 描 的 详细 信 
息 。 在 处 理 过 程 中 , 窗 格 会 显示 实时 结果 。 在 执行 Web 安全 扫描 任务 的 过 程 中 ,我 们 可 以 
随时 查看 已 经 检测 出 的 Web 安全 问题 。 


2. 进度 栏 
进度 栏 显示 当前 阶段 的 扫描 ,以 及 正在 进行 测试 的 URL 和 参数 ,如 图 11-11 所 示 。 


Scanning.. 1% conplete 
0 
Testing; http://192. 168.1. 10/Blog/sjax. php 06:14 


图 11-11 AppSan 扫描 进度 栏 


进度 栏 上 显示 的 内 容 有 : 

(1) 当前 被 探索 或 测试 的 URL; 

(2) 测试 阶段 完成 的 百分比 ; 

(3) 如 果 这 是 后 续 测试 阶段 ,会 显示 当前 的 阶段 号 ; 

(4) 自 扫 描 开始 的 时 间 量 (mm:ss 或 hh:mm:ss 或 dd:hh:mm:ss)。 

如 果 在 扫描 的 过 程 中 发 现 新 的 链接 (并 且 启 用 了 多 阶段 扫描 ) ,会 在 先前 的 阶段 完成 后 
自动 启动 其 他 扫描 阶段 。 新 阶段 可 能 比 前 一 阶段 短 很 多 ,因为 仅 会 扫描 新 链接 。 在 进度 栏 
上 还 可 能 会 显示 报警 ,如 服务 器 关闭 。 扫 描 完成 时 关闭 进度 栏 。 


3. 状态 栏 


状态 栏 在 界面 的 底部 ,显示 当前 运行 扫描 读 取 的 详细 信息 (实时 显示 ), 如 图 11-12 所 
示 。 状 态 栏 上 的 信息 包括 以 下 几 个 。 


国 visited Pages; 548/548 。 | [a] Tested Flenents: 2398/2396 | 种 MTTP Requests B318 Security Issues | 


图 11-12 AppScan 状态 栏 


(1) Visited Pages( 已 访问 页 面 数 ): 已 访问 的 页 面 数量 /要 访问 的 页 面 总 数 。 

随 着 扫描 的 进行 ,会 发 现 某 些 页 面 ,然后 因为 不 需要 扫描 这 些 页 面 而 拒绝 此 类 页 面 ,第 
二 个 数字 可 能 会 在 扫描 期 间 增加 ,然后 减少 。 扫 描 结 束 时 ,这 两 个 数字 应 该 是 相等 的 。 

(2) Tested Elements( 已 测试 元 素数 量 ): 已 测试 元 素数 量 / 要 测试 的 元 素 总 数 。 

随 着 发 现 要 测试 的 元 素 ,第 二 个 数字 会 在 “探索 阶段 增加。 测试 阶段 ,第 一 个 数字 将 增 
加 。 扫 描 结束 时 ,这 两 个 数字 应 该 相等 。 

(3) Http Requests( 发 送 的 HTTP 请 求 数量 )。 

该 数字 代表 发 送 的 所 有 请 求 数 ,包括 会 话 内 检测 请 求 .服务 器 关闭 检测 请 求 、 登 录 请 求 、 
多 步 又 操作 和 测试 请 求 。 因 此 在 扫描 期 间 , 该 数量 是 AppScan 正在 工作 的 指示 符 , 但 是 扫 
描 期 间或 扫描 结束 后 ,其 实际 数量 不 具有 任何 特殊 意义 。 
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(4) Security Issues( 安 全 问题 数量 ) 。 
各 个 类 别 中 发 现 的 安全 问题 总 数 (后 跟 数 量 ) ,分 为 高 .中 、 低 和 参考 。 


4. 导出 扫描 结果 


扫描 完成 后 ,结果 将 显示 在 主 窗口 上 。 用 户 可 以 以 XML 文件 或 者 相关 数据 库 的 形式 
输出 完成 扫描 的 结果 。 

输出 一 个 报告 文档 的 步骤 如 下 。 

(1) 单 击 File>Export; 

(2) 输入 文档 名 称 ; 

(3) 选择 XML 或 者 Relational DB 格式 ; 

(4) 单 击 【保存 按钮 。 


11.3.3 扫描 结果 
1. 结果 视图 


扫描 结果 可 在 三 个 视图 中 显示 : Data( 应 用 程序 数据 )、Issues( 安 全 问题 )、Tasks( 补 救 
任务 )。 通 过 视图 选择 上 的 按钮 选择 视图 (默认 为 问题 视图 ) ,这 三 个 视图 中 显示 的 数据 会 随 
着 所 选择 的 视图 不 同 而 改变 。 结 果 视 图 的 详细 说 明 见 表 11-3。 

表 11-3 ”结果 视图 信息 
图 标 名 称 描 述 


应 用 程序 视图 显示 来 自 探索 步骤 的 脚本 参数 、 交 互 式 URL. 已 访问 的 
URL ,中 断 链接 已 过 滤 的 URL .注释 、JavaScript 和 Cookie 
。 应 用 程序 树 : 显示 URL 和 文件 节点 


De 。 结 果 列表 : 对 结果 列表 栏 上 的 可 选 列表 进行 过 滤 ,以 确定 显示 哪 一 项 
图 应 用 程序 SS 
RE 的 详细 信息 


。 详细 资料 栏 : 结果 列表 中 所 选项 的 详细 信息 
与 其 他 两 个 视图 不 同 的 是 : 即使 AppScan 仅 完成 了 探索 步骤 ,应 用 程序 
数据 视图 也 可 用 


安全 问题 视图 从 宏观 到 特定 的 请 求 /响应 显示 发 现 的 实际 问题 。 一 般 情 
ee 况 下 ,安全 问题 视图 是 缺 省 视图 . 
© 安全 问题 ”应 用 程序 树 : 完整 应 用 程序 树 , 计 数 器 显示 每 一 项 所 发 现 的 问题 数 

。 结果 列表 : 显示 所 选 树 中 节点 的 问题 列表 ,以 及 每 个 问题 的 优先 级 别 


加 国 。 详 细 信息 栏 , 显示 在 结果 列表 上 所 选 问题 的 顾问 信息 .修改 建议 .请 
求 /响应 (包括 所 使 用 的 所 有 变 体 ) 
补救 任务 视图 将 提供 一 个 修复 扫描 中 发 现 问题 的 详细 修改 意见 表 ,以 修 
订 扫 描 中 所 发 现 的 问题 
。 应 用 程序 树 ,完成 应 用 程序 树 , 计 数 器 显示 每 一 项 所 提供 的 修改 建议 
asks 数量 
© 0 。 结 果 列 表 : 列 出 应 用 程序 树 中 所 选 节 点 的 修订 任务 ,以 及 每 项 任务 的 


优先 级 
详细 资料 栏 : 显示 结果 栏 中 所 选 定 的 修复 任务 的 详细 信息 ,以 及 该 修 
复 将 解决 的 问题 的 详细 分 析 
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应 用 程序 数据 视图 如 图 11-13 所 示 。 
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图 11-13 应 用 程序 数据 视图 
安全 问题 视图 如 图 11-14 所 示 。 
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图 11-14 安全 问题 视图 
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补救 任务 视图 如 图 11-15 所 示 。 
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1. Unenerypted Login Request 


Details 
1 Make sure that all login requests are sent 
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2. 严重 等 级 


图 11-15 补救 任务 视图 


结果 列表 会 显示 应 用 树 中 所 选择 节点 的 问题 ,这 些 问题 分 为 下 列 几 种 级 别 。 

(1) 基本 级 : 显示 所 有 站 点 问题 。 

(2) 页 面 级 : 显示 所 有 页 面 问题 。 

(3) 参数 级 : 显示 所 有 特定 页 面 特定 请 求 的 问题 。 

AppScan 给 每 一 个 发 现 的 问题 分 配 安全 级 别 , 安 全 级 别 分 为 4 个 严重 等 级 ,如 表 11-4 


所 示 。 
表 11-4 严重 等 级 
图 标 名 称 描 述 示 例 
国 。 | 高 严重 级 别 | 直接 危害 应 用 程序 、Web 服务 器 或 信息 拒绝 服务 
丽 | 中 严重 级 别 Pee te eg 公 险 ,但 会 通过 | 脚本 源 代码 泄露 
玖 | 低 严重 级 别 | 允许 未 授权 的 俩 测 服务 器 路 径 洪 志 
夯 | 报告 安全 问题 | 应 当 了 解 的 问题 ,未 必 是 安全 问题 启用 了 不 安全 的 方法 


注意 : 分 配给 任何 问题 的 严重 级 别 都 可 以 通过 右 击 节 点 来 进行 手动 更 改 。 
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3. 安全 问题 选项 卡 


在 安全 问题 视图 中 ,会 在 4 个 选项 卡 的 详细 信息 窗 格 中 显示 选 定 问题 的 漏洞 详细 信息 ， 
每 个 选项 卡 的 内 容 如 表 11-5 所 示 。 
表 11-5 ”安全 问题 选项 卡 内 容 


选 项 卡 描 述 
Issue Information 显示 由 结果 专家 添加 的 信息 ,此 信息 包括 针对 问题 的 CVSS 度量 值 评分 和 相关 
(问题 信息 ) 屏幕 快照 ,这 些 可 以 与 结果 一 起 保存 并 包含 在 报告 中 
Advisory 选 定 问题 的 技术 详细 信息 ,以 及 更 多 信息 的 链接 、 必 须 修订 的 内 容 和 原因 
(咨询 ) 


Fix Recommendation ”为 保障 Web 应 用 程序 不 会 出 现 选 定 的 特定 问题 而 应 完成 的 具体 任务 
(修订 建议 ) 
Request/ Response 显示 发 送 到 应 用 程序 及 其 响应 的 特定 测试 (可 以 HTML 格式 或 在 Web 浏览 器 
(请 求 /响应 ) 中 查看 ) 
如 果 存 在 变 体 ( 发 送 到 同一 个 URL 的 不 同 参数 ) ,可 通过 单 击 选项 卡 顶部 的 [一 】 
和 【二 3 按钮 来 查看 
该 选项 卡 右边 的 两 个 选项 卡 能 够 查看 变 体 详细 信息 ,并 添加 与 结果 一 同 保存 的 
快照 


安全 问题 选项 卡 窗 格 如 图 11-16 所 示 。 


Tssoe Inforaation [人 @ Advisory | V Pix Recommendation| sp Request/Rasponse 


[9 SQL Injection (2) 


@ maxid http//192.168.1.10/Blog/ajax.php 
@ pmypen http://1192.168.1.10/Blog/login.php 


Use the NextPrewious arrows to navigate through the detalled information for 
IndMidual lssues 


图 11-16 安全 问题 选项 卡 
4. 结果 专家 


结果 专家 通常 在 全 面 扫 描 之 后 自动 运行 ,但 是 也 可 以 在 全 面 或 部 分 扫描 结果 上 随时 手 
动 运行 。 如 果 测 试 时 间 有 限 ,而 且 结 果 数 量 很 大 ,可 以 决定 不 使 用 结果 专家 。 


11.3.4 结果 报告 


AppScan 评估 了 站 点 的 漏洞 后 ,可 以 生成 针对 组 织 中 各 种 人 员 而 配置 的 定制 报告 ,从 
开发 者 ,内 部 审计 员 、 安 全 测试 员 到 经 理 和 主管 。 工 具 栏 上 的 报告 图 标 使 用 户 可 以 选择 报告 
模板 ,并 且 设 置 生成 报告 模板 的 内 容 和 布局 。 报 告 描述 如 表 11-6 所 示 。 
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表 11-6 报告 类 型 


图 标 名 称 描 述 

扫描 中 发 现 的 安全 问题 报告 。 安 全 信息 可 能 非常 广泛 ， 
可 根据 用 户 的 需要 进行 过 滤 ,包括 6 个 标准 模板 。 根 据 
需要 ,每 个 模块 都 可 轻易 调整 ,以 包括 或 排除 信息 类 别 。 


有 下 列 可 选项 : 

安全 报告 。 概要 一 一 图 表 和 表格 形式 的 统计 概要 

Security 。 细 节 一 一 在 概要 中 增加 所 有 细节 

。 修改 一 一 要 求 修改 的 工作 列表 以 及 决定 发 现 的 问题 
。 开 发 一 一 问题 列表 ,修改 工作 和 应 用 资料 
。 QA 一 一 报告 列表 和 修改 建议 ,应 用 资料 和 访问 的 URL 
。 站 点 清单 一 一 站 点 列表 和 应 用 资料 
应 用 程序 针对 选 定 的 行业 委员 会 标准 (例如 OWASP 

行业 标准 报告 Top10、SANS Top 20、WASC 等 ) 定 制 的 报告 。 如 果 有 必 

dd | 要 用 户 可 以 创建 并 根据 自己 的 习惯 检查 标准 检查 列表 


( 详 见 用 户 指导 ) 


应 用 程序 针对 规范 或 法 律 标准 的 大 量 选项 提供 其 内 容 
(例如 HIPAA、GLBA、COPPA、SOX、 加 州 SB1386 和 
合 规 一 致 性 报告 AB1950、 欧 洲 的 1995/46/EC) 
A 如 果 有 必要 用 户 可 以 创建 并 根据 自己 的 习惯 检查 标准 并 
修改 标准 模板 ( 详 见 用 户 指导 ) 


增 量 分 析 报 告 比较 了 两 组 扫描 结果 ,并 显示 发 现 的 URL 
告 
oo 人 和 /或 安全 问题 中 的 差异 
EE 报告 的 一 种 形式 ,包括 用 户 规定 的 数据 和 用 户 规定 的 文 
1 
a 全 件 格式 ,采用 微软 Word . doc 格式 
2. 生成 安全 报告 


扫描 完成 后 , 即 可 生成 安全 报告 。 安 全 报告 会 提供 扫描 期 间 发 现 的 安全 问题 信息 。 生 
成 安全 报告 的 步骤 如 下 。 

(1) 创建 报告 

单 击 工具 栏 上 的 国 图 标 ,或 者 单 击 菜单 栏 上 的 Tools 一 Report 按钮 ,可 打开 创建 报告 
对 话 框 ,如 图 11-17 所 示 。 

单 击 窗口 上 面 的 图 标 可 选择 报告 类 型 。 缺 省 情况 下 ,打开 的 是 安全 报告 (Security)。 本 
例 中 ,我 们 选择 安全 报告 。 

(2) 选择 报告 类 型 

中 选择 模板 

安全 报告 中 提供 了 6 种 报告 模板 , 即 管理 综合 报告 详细 报告 (Detailed Report) ,修复 
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Create Report 


Industry Standard 。 Regulatory Compliance 。 Delta Analysis Tenplate Based 


中 FF 


[esiled Report 


回 Aaaitisna Issae Information 
日 回 Yeimts 
Reguest/BResponse 
加 Differences 
Sort by Olssue Type tri 
和 日 回 hppli 


回 Lisit mamber of variants per issae 


Max Variants 


口 Aaa pags break after each Issue (POF) 


View when done 


mm 


图 11-17 创建 报告 对 话 框 
任务 、 开 发 者 (Developer)、QA、 站 点 目录 (Site Inventory)。 安 全 报告 模板 的 详细 信息 见 


表 11-7。 
表 11-7 安全 报告 模板 

报告 模板 描 述 
管理 综合 报告 高 级 别 的 综合 报告 ,突出 显示 在 Web 应 用 程序 中 找到 的 安全 风险 以 及 扫描 
(Executive Summary) 结果 统计 信息 ,其 格式 为 表 和 图 表 
详细 报告 包含 管理 综合 报告 .安全 问题 ( 受 影响 的 URL、 威 胁 类 、 严 重 性 等 ) .注释 , 咨 
(Detailed Report) 询 、 修 订 建 议 . 修 复 .应 用 程序 数据 和 URL 
修复 任务 为 处 理 扫描 中 所 发 现 的 问题 而 设计 的 操作 
开发 者 安全 问题 . 变 体 、 咨 询 和 修订 建议 ,不 需要 【管理 综合 报告 ] 或 【修复 任务 】 
(Developer) 部 分 
QA 安全 问题 咨询 和 修订 建议 .应 用 程序 数据 ,不 需要 详细 变 体 信息 【管理 综 

合 报 告 或 [修复 任务 ] 部 分 

站 点 目录 仅 应 用 程序 数据 


(Site Inventory) 
注 : 可 以 按照 我 们 所 需要 的 内 容 ,在 右 侧 树 中 选择 报告 所 要 体现 的 内 容 。 


第 11 章 AppScan 


本 例 中 ,在 Report Type 中 ,在 Template 的 下 拉 列 表 中 选择 Detailed Report。 

如 果 Template 中 提供 的 这 6 种 模板 不 能 满足 需要 ,可 以 采用 自 定义 的 方式 ,在 右边 窗 
格 中 ,选择 报告 中 需要 的 内 容 。 然 后 单 击 Save Report, 此 时 AppScan 将 弹出 文件 对 话 框 ， 
在 对 话 框 中 选择 报告 存储 的 位 置 ,填写 报告 文档 的 名 称 。 

@ 从 Min Severity( 最 低 严 重 性 ) 列 表 中 ,选择 要 包含 在 报告 中 的 问题 最 低 严 重 性 级 别 。 

(3) 保存 报告 

单 击 Save Report 按钮 保存 报告 。AppScan 将 自动 生成 报告 。 生 成 报告 需要 一 定 的 时 
间 ,请 耐心 等 待 。 随 后 AppScan 将 以 PDF 的 格式 展示 报告 内 容 。 

报告 内 容 非 常 丰富 。 报 告 中 包含 介绍 .管理 综合 报告 . 按 问 题 类 型 分 类 的 问题 .修订 建 
议 ,咨询 和 应 用 程序 数据 。 

注 : IBM Rational AppScan 试用 版 可 以 在 IBM 的 官网 上 下 载 ,下 载 地 址 为 http:// 


www. ibm. com/developerworks/cn/downloads/r/appscan/。 
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英 文 中 美 英 次 中 E 

A bug 缺陷 
acceptance testing 验收 测试 build 工作 版 本 (内 部 小 
action stub 动作 桩 版 本 ) 
actual result 实际 结果 build-in 内 置 
ad hoc testing 随机 测试 
anomaly 异常 C/S(Client/Server) 客户 /服务 器 模式 
apha testing a 测试 capacity testing 容量 测试 
application server 应 用 程序 服务 器 capture/replay tool 录制 /回放 工具 
AUT(Application Under Test)| 被 测试 的 应 用 程序 cause-effect graph 因果 图 
ASP(Active Server Page) | 动态 服务 器 页 面 certification 认证 ,确认 
na checking 断言 检查 CGI(Common Gateway 公共 网 关 接口 
audit 审计 Interface) 
automated testing 自动 化 测试 change control 变更 控制 
availability 可 用 性 code 代码 

B code analyzer 代码 分 析 器 
B/S(Browser/Server) 浏览 器 /服务 器 模式 || code coverage 代码 覆盖 
beta testing 8B 测 试 code inspection 代码 检查 
i 大 棒 测 试 /一 次 性 集 | code rule 编码 规范 

成 测试 code style 编码 风格 

black box testing 黑 盒 测试 code walkthrough 代码 走读 
bottom-up testing 自 底 向 上 测试 code-based testing 基于 代码 的 测试 
boundary values 边界 值 compatibility testing 兼容 性 测试 
boundary values analysis 边界 值 分 析 complete path testing 完全 路 径 测试 
boundary values testing 边界 值 测试 complexity 复杂 性 
branch 分 支 compliance 一 致 性 
branch condition 分 支 条 件 compliance testing 一 致 性 测试 
branch coverage 分 支 覆 盖 component 组 件 
branch testing 分 支 测 试 component testing 组 件 测试 
browser 浏览 器 compound condition 复合 条 件 
bug report 缺陷 报告 concurrency testing 并 发 测试 
bug tracking system 缺陷 跟踪 系统 concurrency user 并 发 用 户 
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续 表 
英 文 中 名 英 法 中 4 

condition 条 件 desk checking 桌面 检查 
condition combination 条 件 组 合 屠 盖 diagnostic 诊断 
coverage documentation testing 文档 测试 
condition coverage 条 件 覆盖 domain 域 
condition item 条 件 项 domain testing 域 测试 
configuration item 配置 项 driver 驱动 模块 
configuration management | 配置 管理 dynamic analysis 动态 分 析 
configuration testing 配置 测试 dynamic testing 动态 测试 
confirmation testing 确认 测试 
conformance testing 一 致 性 测试 entry criteria 准 入 条 件 
connection speed testing 连接 速度 测试 entry point 入 口 点 
consistency 一 致 性 equivalence class 等 价 类 
control flow graph 控制 流程 图 equivalence partition testing| 等 价 划 分 测试 
coverage 覆盖 率 equivalence partitioning 等 价 划分 
coverage item 覆盖 项 error guessing 错误 猜测 
crash 崩溃 error 错误 
CSRF(cross-site request 跨 站 请 求 伪造 error ee 容错 
forgery) evaluation 评估 
cyclomatic complexity 圈 复 杂 度 event-driven 事件 驱动 

D exception handlers 异常 处 理 器 
data definition 数据 定义 exception 异常 /例外 
data driven testing 数据 驱动 测试 executable statement 可 执行 语句 
data flow analysis 数据 流 分 析 exhaustive testing 穷尽 测试 
data flow coverage 数据 流 覆 盖 exit point 出 口 点 
data flow diagram 数据 流 图 expected outcome 预期 结果 
data flow testing 数据 流 测试 exploratory testing 探索 性 测试 
data use 数据 使 用 
dead code 死 代 码 fail 失败 
debug 调试 failover testing 失效 恢复 测试 
debugger 调试 器 failure 失效 
decision 判定 fault 故障 
decision condition 判定 条 件 form 表单 
decision coverage 判定 覆盖 fragment 信息 片断 
decision outcome 判定 结果 framework 框架 
decision table 判定 表 functional decomposition 功能 分 解 
decision-condition coverage | 判定 -条 件 覆 盖 functional point analysis 功能 点 分 析 
defect 缺陷 (FPA) 
defect density 缺陷 密度 functional requirement 功能 需求 
defect management 缺陷 管理 functional testing 功能 测试 
defect report 缺陷 报告 
defect tracking tool 缺陷 跟踪 工具 glass-box testing 玻璃 盒 测 试 / 白 盒 测试 
deployment 部 署 GUI software testing 用 户 界 面 测试 
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续 表 
英 党 中 支 英 实 中 交 

GUI(Graphical User 图 形 用 户 界面 memory leak 内 存 泄露 
TInterface) module 模块 

H module testing 模块 测试 
home page 主页 monitor 监测 器 /监视 器 
hostname 主机 名 有 ee 多 条 件 测试 /组 合 条 

multiple condition coverage 

HTML(Hyper Text 超 文本 标记 语言 件 测试 
Markup Language) N 
HTTP Status Code HTTP 状态 码 N/A(not applicable) 不 适用 的 
HTTPS(Hyper Text Transfer . 了 逆向 测试 ， 反 向 测 
aol 0 es re 超 文 本 传输 安全 | negative testing 试 , 负面 测试 
Layer) 的 议 non-conformity 不 一 致 
hyperlink 超 链 接 non-functional requirement | 非 功能 需求 
hypertext transfer protocol | HTTP 协议 non-functional testing 非 功能 性 测试 

I O 
IISCInternet Information operability 可 操作 性 
Server) 互联 网 信息 服务 operational environment 运行 环境 
incremental testing 渐 增 测试 operational testing 可 操作 性 测试 
infeasible path 不 可 达 路 径 outcome 结果 
injection 注 人 output 输出 
input domain 输入 域 output domain 输出 域 
inspection 审查 output value 输出 值 
installation testing 安装 测试 到 
integration testing 集成 测试 page 页 面 
interface 接口 parameters 参数 
interface testing 接口 测试 pass 通过 
invalid input 无 效 输入 pass/fail criteria 通过 /失败 准则 
invalid testing 无 效 性 测试 path 路 径 
isolation testing 孤立 测试 path coverage 路 径 覆 盖 
iteration 迭代 path testing 路 径 测 试 
iterative development 迭代 开发 peer review 同行 评审 

Eb performance 性 能 
line coverage 行 覆盖 /语句 覆盖 performance indicator 性 能 指标 
link 链接 performance testing 性 能 测试 
load testing 负载 测试 performance testing tool 性 能 测试 工具 
localization testing 本 地 化 测试 PHP(Hypertext Preprocessor)| 超 文本 预 处 理 器 
logic analysis 逻辑 分 析 port 端口 号 
logic coverage testing 逻辑 覆盖 测试 portability 可 移植 性 

M portability testing 可 移植 性 测试 
maintainability 可 维护 性 positive testing 正 向 测试 
maintainability testing 可 维护 性 测试 postcondition 后 置 条 件 
maintenance 维护 precondition 前 置 条 件 
measurement 度量 predicted outcome 预期 结果 
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英 党 中 实 英 实 中 4 

predicate 谓词 risk assessment 风险 评估 
predicate data use 谓词 数据 使 用 risk control 风险 控制 
priority 优先 级 robustness 健壮 性 
problem 问题 robustness testing 健壮 性 测试 
process 过 程 S 
project 项 目 safety 安全 性 
project risk 项 目 风险 safety testing 安全 性 测试 
program instrument 程序 插 装 sanity test 健全 测试 
program testing 程序 测试 scalability 可 扩展 性 
project test plan 项 目测 试 计划 scalability testing 可 扩展 性 测试 
protocol 协议 scenario testing 场景 测试 
prototype 原型 scripting language 脚本 语言 
pseudo code 伪 代 码 Security 安全 性 
pseudo-random 伪 随机 security testing 安全 性 测试 

Q security testing tool 安全 性 测试 工具 
query 查询 severity 严重 性 
quality 质量 simulation 模拟 
quality assurance 质量 保证 simulator 模拟 器 
quality management 质量 管理 software 软件 

R software engineering 软件 工程 
random testing 随机 测试 software quality 软件 质量 
record/playback tool 录制 /回放 工具 source code 源 代码 
recoverability 可 恢复 性 specification 规格 说 明 书 
recovery testing 恢复 测试 specification-based testing | 基于 规格 说 明 的 测试 
regression testing 回归 测试 stability 稳定 性 
relative URL 相对 URL SQL(Structured Query Pa 
release note 版 本 说 明 Language) 结构 化 查询 语言 
release 发 布 SQL Injection SQL 注入 
reliability testing 可 靠 性 测试 state 状态 
reliability 可 靠 性 state diagram 状态 图 
reliability assessment 可 靠 性 评价 state transition 状态 转换 
reliability testing 可 靠 性 测试 state transition testing 状态 转换 测试 
requirement 需求 statement 语句 
requirement-based testing | 基于 需求 的 测试 statement coverage 语句 覆盖 
requirements management statement testing 语句 测试 
tool 和 static analysis 前 态 分 析 
requirements phase 需求 阶段 static analysis tool 静态 分 析 工 具 
resource utilization 资源 使 用 static analyzer 静态 分 析 器 
result 结果 static code analysis 静态 代码 分 析 
review 评审 static code analyzer 静态 代码 分 析 器 
reviewer 评审 人 static testing 静态 测试 
risk 风险 statistical testing 统计 测试 


376 


SA 


Web 应 用 程序 测试 


续 表 
英 党 中 党 英 中 次 

Storage 存储 test pass 测试 通过 
stress testing 压力 测试 test phase 测试 阶段 
stub 桩 test plan 测试 计划 
synchronization 同步 test procedure 测试 规程 
syntax testing 语法 测试 test process 测试 过 程 
System 系统 test record 测试 记录 
system analysis 系统 分 析 test report 测试 报告 
system design 系统 设计 test requirement 测试 需求 
System integration 系统 集成 test result 测试 结果 
System testing 系统 测试 test scenario 测试 场景 

业 test Script 测试 脚本 
technical review 技术 评审 test specification 测试 规格 
test 测试 test strategy 测试 策略 
test automation 测试 自动 化 test suite 测试 套件 
test basis 测试 依据 test Summary report 测试 总 结 报告 
test case 测试 用 例 test target 测试 目标 
test case suite 测试 用 例 集 test technique 测试 技术 
test condition 测试 条 件 test tool 测试 工具 
test coverage 测试 覆盖 test type 测试 类 型 
test cycle 测试 周期 testability 可 测试 性 
test data 测试 数据 tester 测试 员 
test design 测试 设计 testing bed 测试 平台 
test driver 测试 驱动 testing coverage 测试 覆盖 
test driven development 测试 驱动 开发 testing environment 测试 环境 
test environment 测试 环境 top-down testing 自 顶 向 下 测试 
test evaluation report 测试 评估 报告 traceability 可 跟踪 性 
test execution 测试 执行 traceability analysis 跟踪 分 析 
test execution automation | 测试 执行 自动 化 transaction 事务 /处 理 
test execution phase 测试 执行 阶段 transform analysis 事务 分 析 
test fail 测试 失败 truth table 真 值 表 
test generator 测试 生成 器 
test input 测试 输入 unit 单元 
test item 测试 项 unit testing 单元 测试 
test level 测试 级 别 URL(Uniform Resource 
test log 测试 日 志 Locator) 和 
test management 测试 管理 usability 可 用 性 
test management tool 测试 管理 工具 . 易 用 性 测试 /可 用 性 
test measurement technique | 测试 度量 技术 id 测试 
test object 测试 对 象 usage scenario 使 用 场景 
test objective 测试 目标 user acceptance testing 用 户 验收 测试 
test oracle 测试 准则 UICUser Interface) 用 户 界 面 
test outcome 测试 结果 user profile 用 户 信息 
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续 表 
英 党 中 英 中 党 
user scenario 用 户 场景 web page 网 页 
uner test 用 户 测试 web server Web 服务 器 
b testi 网 站 测试 

validation 确认 daa 
verification 验证 white-box testing 白 盒 测试 
verification 人 & validation 验证 && 确认 WWW(World Wide Web) | 万 维 网 
version 版 本 x 
volume testing 容量 测试 

XML(E ible Mark' 
Virtual user 虚拟 用 户 Re 9 | 可 扩展 标记 语言 

Language) 
walkthrough 走读 / 走 查 XSS(Cross-Site Scripting) | 跨 站 点 脚本 攻击 


软件 测试 文档 模板 | 


1. 测试 计划 模板 
测试 计划 模板 如 表 B-1 所 示 。 
表 B-1 测试 计划 模板 


XX 系统 测试 计划 


作者 : 

发 布 日 期 : 
文档 版 本 
文档 编号 : 
修订 记录 


版 本 日 期 修订 者 说 明 


1 概述 

1.1 编写 目的 

[简要 说 明 编写 此 计划 的 目的 。] 

1.2 参考 资料 

[ 列 出 软件 测试 所 需 的 资料 ,如 需求 分 析 、 设 计 规范 、 用 户 操作 手册 ,安装 指南 等 。] 

1.3 术语 和 缩写 词 

[ 列 出 本 次 测试 所 涉及 的 专业 术语 和 缩写 词 等 .] 

1.4 测试 种 类 

[说 明 本 次 测试 所 属 的 测试 种 类 (单元 测试 .集成 测试 .系统 测试 ,验收 测试 ) 及 测试 的 对 象 .] 
1.5 测试 提交 文档 

[ 列 出 在 测试 结束 后 所 要 提交 的 文档 。] 

2 系统 描述 

[简要 描述 被 测 软 件 系统 ,说 明 被 测 系 统 的 输入 、 基 本 处 理 功能 及 输出 ,为 进行 测试 提供 一 个 提纲 。] 
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续 表 
3 测试 进度 
测试 活动 计划 开始 日 期 实际 开始 日 期 结束 日 期 
制定 测试 计划 
设计 测试 
对 测试 进行 评估 
产品 发 布 
4 测试 资源 
4.1 测试 环境 
[硬件 环境 : 列 出 本 次 测试 所 需 的 硬件 资源 的 型 号 .配置 和 厂家 。 
软件 环境 : 列 出 本 次 测试 所 需 的 软件 资源 ,包括 操作 系统 和 支持 软件 的 名 称 和 版 本 。] 
4.2 人力 资源 
[ 列 出 在 此 项 目的 人 员 配 备 和 工作 职责 。] 
4.3 测试 工具 
[ 列 出 测试 使 用 的 工具 。] 
用 途 工具 生产 厂商 / 自 产 版 本 
5 系统 风险 和 优先 级 
[简要 描述 测试 阶段 的 风险 和 处 理 的 优先 级 。] 
6 测试 策略 
[测试 策略 主要 提供 对 测试 对 象 进行 测试 的 推荐 方法 。 
对 于 每 种 测试 ,都 应 提供 测试 说 明 ,并 解释 其 实施 的 原因 。 
制定 测试 策略 时 需要 给 出 判断 测试 何 时 结束 的 标准 。] 
7 测试 数据 的 记录 、 整 理 和 分 析 
[对 本 次 测试 得 到 数据 的 记录 ,整理 和 分 析 的 方法 和 存档 要 求 .] 
审核 : 
年 月 日 
批准 
年 月 日 


2. 用 例 模 板 
测试 用 例 通 用 模板 如 表 B-2 所 示 。 
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表 B-2 测试 用 例 模板 
用 例 编号 用 例 名 称 
项 目 /软件 所 属 模块 
用 例 设计 者 设计 时 间 
用 例 优先 级 用 例 类 型 
测试 类 型 测试 方法 
测试 人 员 测试 时 间 
测试 功能 
测试 目的 
前 置 条 件 
序号 操作 描述 输入 数据 期 望 结果 实际 结果 备注 
i 
2. 
3. 缺陷 报告 模板 
缺陷 报告 模板 如 表 B-3 所 示 。 
表 B-3 缺陷 报告 模板 
缺陷 编号 缺陷 类 型 严重 级 别 缺陷 状态 
项 目 名 称 用 例 编号 软件 版 本 
测试 阶段 单元 口 集成 ” 口 系统 口 验收 口 其 他 (  ) 
测试 人 测试 时 间 可 重 现 性 是 口 否 
起 陷 原因 需求 分 析 “ 口 概要 设计 口 详细 设计 口 设计 样式 理解 ” 口 编程 
数据 库 设 计 口 环境 配置 ” 口 其 他 (  ) 
缺陷 描述 
预期 结果 
重 现 步骤 
错误 截图 
备注 
以 下 部 分 由 缺陷 修改 人 员 填 写 
缺陷 
修改 
描述 
修正 人 修正 日 其 确认 入 确认 日 期 
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